Tak nám zase na Roota prochází spam a to docela ve velkém, každý příspěvek je z jiné adresy. Prostě hrůza a nevěstinec [čti: bordel].
Odstavec o nespisovných slovech: Pokud se vás dotklo první slovo v titulku, pak se vám hluboce omlouvám, ale v souvislosti se spamery nemluvím nikdy slušně. Obvykle používám slova označující prostitutky, vepře a další havěť. Nelze jinak, jsou to zmetci. V dalším textu se budu uměle krotit, ale pokud chcete zprostředkovat mé pocity, zaměňte si slova jako zlobit, naštvat, holomci a podobně za ta podstatně expresivnější.
Můžeme se zlobit, můžeme se zdravě naštvat, můžeme jim nadávat do vepřových hlav, ale to je tak všechno, co s těmi holomky nezbednými uděláme. Bohužel nám zase začali procházet na Roota, i přes různé antispamové ochrany. Otázka zní, co s tím uděláme. Problém je, že jakýmikoliv úpravami omezíme regulérní čtenáře a budeme je (vás) tím obtěžovat. To je ale bohužel daň za tuhle situaci.
Variant je v zásadě několik, do této chvíle používáme samovyplňovací JS formuláře, které jsou normálně skryté a vy je nevidíte. Zřejmě se ale spamboti naučili JS, takže tohle přestává fungovat. Na různých webech jsme vyzkoušeli reCAPTCHA, což je taky nefuknční řešení, spameři si to na svých webech zřejmě nechávají opisovat lidmi. Je to navíc hodně rozšířené řešení, takže se hojně napadá. Klasickou CAPTCHA je možné dneska docela pohodlně odOCRkovat. Variant je několik:
Povinná registrace s nějakou drsnou ochranou, kterou ale člověk projde jen jednou. Je mi předem jasné, že čtenáři začnou šíleně řvát, že nám odejdou z diskusí. Jsem zastáncem otevřené diskuse bez nutnosti registrace, bohužel nás to čím dál víc tlačí ke změně.
Turingův test v češtině se nám osvědčil na fórech. Jde o to, že čtenář musí odpovědět na českou otázku typu „Který měsíc je v roce čtvrtý?“ Podle mě je tohle řešení pohodlnější než CAPTCHA (nesnáším to luštění skoro nečitelných obrázků) a spameři tím nejsou schopni projít.
Ještě něco jiného a vychytralého je samozřejmě možné také najít. Tahle část je na vás – máte nějaké účinné řešení, kromě těch, která jsem navrhl? Podělte se v diskusi.
No já osobně vidím problém trochu jinde. Na blogu co jsem měl na rootu se mi objevují v komentářích nové a nové spamy. A to i přes to, že mám všude zakázano vkládání nových komentářů! Takže se domnívám že spameři na roota vkládají komentáře jinou než standardní cestou (SQL Injection? XSS?)
A co ta sluzba co pouziva Wordpress, http://akismet.com ?
Před lety jsem viděl jeden nápad na autentizaci uživatele, ale mnohem lepší použití by pravděpodobně bylo jako jako ochrana před spamboty.
Jak to funguje:
Uživateli je zobrazena matice obrázků ( ikonek ) o rozměrech ( 3x3, ale může být jakkoliv veliká ) Společně s třemi ikonami, které lze spojit do trojúhelníku. Uvnitř tohoto trjúhelníku je pak vždy jedna ikona, která tvoří vstupní ikonu. Ta trojice ikon se vždy generuje náhodně.
Uživatel je pak vyzván, aby klikl na ikonu, která je ve středu trojúhelníku tvořenými následujícími ikonami...
Při takto malé matici je otázka nalezení správné ikonky 1 - 2s.
Autentizace by se dala ještě udělat pomocí posloupnosti. Např. Klikněte postupně v tomto pořadí na následující ikony ...
Heh, možná si to i sám naprogramuju :)
Co člověk při psaní komentáře dělá a stroj (předpokládám, že stále) nikoli?
Píše jednotlivé znaky, tiskne klávesy. Stačí JS odchytávat keypress pro textarea, měřit délku psaní příspěvku, pravidelnost mezi jednotlivými stisky a v případě, že přibude kus textu naráz, ověřit, že byla stisknuta kombinace CTRL + C nebo bylo nad textareou stisknuto pravé tlačítko myši. Data ukládat a poslat spolu s příspěvkem na server k vyhodnocení.
Pokud testem entita neprojde, pak vrátit klasického českého turinga - pokud projde, postnout příspěvek. Předpokládám, že 99 procent uživatelů by si ničeho nevšimlo.
[15]presne takovy filtrovani podle obsahu prispevku me pokazdy nasere. Clovek se pise s komentem, odesle ho a zjisti, ze z nejakyho duvodu byl detekovanej jako zavadnej prispevek, pritom se ani nedozvi proc. Takovouhle ochranu jen v pripade ze se bude prispevek validovat v realnem case a uzivatel se dozvi, ze zadal moc url, toto a toto blacklistovane slovo....
Nový spam bývá dost často stejný nebo podobný těm předchozím. Tedy, odkazuje na stejné servery (nebo část) jako tři jiné příspěvky přidané v poslední době, nebo spamy smazané administrátorem. To se asi nedá použít jako filtr při zadávání, ale může to fungovat jako vodítko pro dodatečné vyhledání a ruční mazání.
[19] Ano, Jakub u nás řadu let pracoval a jeho ochranu máme právě nasazenou na serverech. A nefunguje.
[21] To tam teď máme, vyplňuje to automat. Můžeme zkusit ten JS vypnout a donutit uživatele to zadat ručně. Ale to je stejný princip, který navrhuji nahoře - odpověď na českou větu.
[19] ...
ja jsem uspesne pouzival v diskusi k jednomu webu vice opatreni najednou:
1) meril sem cas prichodu na stranku a odeslani formulare - spambot vetsinou vyplni a odesle. cloveku trva nejakou dobu, nez neco napise
2) prvky formulare jsem prejmenoval na nejake nesmyslne jmena (uvazoval jsem i nahodnem pojmenovani prvku a preneseni jmen v session) a do formulare pridal policka jako `email` nebo `name` a schoval je v CSS. pokud prisly vyplnene, jde o bota
3) misto `submit` jsem pouzil obycejny `button` s javascriptem. `submit` tlacitko bylo schovane v CSS, pokud byl formular odeslan pomoci `submit` tlacitka, opet to prislo od bota
... uzivatele to nijak neomezovalo a spam zadny. samozrejme neslo o zadny zazracny web - nic lakaveho pro spamery. u neceho vetsiho by to byla asi jen otazka casu, kdyz by to nekdo (i relativne jendoduse) obelstil.
[24] část tohoto řešení jsem několikrát použil také, zkrátka falešné inputy "vhodně" pojmenované a spolu s obsahovou kontrolou (if odkazy > 2) jsem tak na svém blogu eliminoval spam zatím na 100%, což jen dokazuje více než tříletá statistika. Mimochodem, tipy od Jakuba Vrány mi nefungovaly už tehdy ;)
Registraci a JS veci povazuji za nevhodne (JS = nelze pouzivat z lynxe).
Jako nejrozumnejsi by mi prisel turinguv test s relativne dlouhymi otazkami a kratkymi jednoznacnymi odpovedmi (casto je nutne dospecifikovat v otazce veci, jako: bez mezer, bez diakritiky, vsechna pismena mala, cisla cislem a ne slovy apod.
Je lepsi klast otazky, na ktere se da odpovedet jednim slovem, nebo jednim cislem (odpada dost nejednoznacnosti).
Dalsi zajimava moznost je pokladat jednoduche otazky z Linuxu/UNIXu - u tech lze predpokladat, ze na ne obec ctenarska bude znat odpovedi.
Treba: "Kolik bitu ma i386", "jak se vetsinou jmenuje prvni ethernetova sitovka", "cela cesta k prvni partition na prvnim disku (na starych jadrech prvnim SCSI disku)", "port pro http" a podobne. A navic - i kdyby nekdo neco z toho nevedel, tak lze ocekavat, ze na tomhle serveru je proto, aby se takove veci dozvedet, takze by mu nemelo moc vadit, ze si to bude muset najit.
Navrhoval bych kombinaci. A tady si udělám malou reklamu :) - CZ.NIC spouští službu MojeID, což je takové OpenID postavené nad údaji, které projdou ověřením (budou k dispozici dvě úrovně - identifikovaný kontakt a validovaný kontakt).
Alfa verzi lze najít na adrese https://demo.mojeid.cz/
Takže bych si úplně dokázal představit, že pro identifikované kontakty (které byly ověřeny, že existujou), nebude nutná žádná "captcha" a pro náhodné kolemjdoucí tam bude stát pan Turing :).
Wikipedie používá CAPTCHA test jen v případě rozpoznání nového URL.
Co takhle za každý potenciálně závadný prvek (URL, výrobek, hvězdička ve slově, ...) v příspěvku dát jeden primitivní (nejlépe slovní) test IQ? Uživatel, který by jen normálně diskutoval, by nebyl vůbec obtěžován.
Tyto testy by se vygenerovaly až po kliknutí na "Odeslat".
Počet testů by se dal také odvodit z výsledku bayesiánského filtru.
Návrh č.1 :)
A co takhle si trošku nejprve pohrát na místo čtení nečitelného.
Spustí se velmi jednoduchá dymamická hra ovládaná myší a nebo kurzorovými klávesami, něco ve stylu flash ... , plošinovka s pohybujícím se nepřítelem, skákačka, hlavolam s nutností inteligentního rozhodování při kterém náhodné klikání vede s vysokou pravděpodobností k neúspěchu, a třeba také s časovým omezením. V průběhu hry může hráč třeba proplouvat mezi různými slovy a na konci na místo dalšího levelu zde může být nějaký inteligentní dotaz, který třeba souvisí právě se slovy které hráč ve hře minul rozstřílel či přeskákal, či se situací kterou ve hře musel řešit :) ... PS: Není to příliš náročný a přeci jen velký úlet ?
Návrh č.2 :)
Systém bude obsahovat jakousi úvodní sadu několika otázek. Uživatel, který chce přidat komentář musí kromě odpovědi na některou z nich zároveň přidat dotaz pro dalšího pisatele a dvě či tři potenciální odpovědi. S označením jedné správné odpovědi. Toto se uloží do databáze. A náhodně se použijí pro dalšího pisatele. Ukládat se také mohou náhodně jen některé návrhy, aby jich tam nebylo moc a nebo třeba jen jeden návrh z jedné IP adresy, také by to mohl být jen jeden návrh za určitou časovou jednotku. Nesmyslné dotazy bude možno označovat a při dosažení určitého kvanta takových dotazů z dané IP komunikaci na určitou dobu blokovat. Trochu je to asi zamotané, ale asi tušíte co přibližně mám na mysli.
Eh, boti nemusi umet javascript na to, aby splnili toto:
Please type "d5a0d2":
Proste si nekdo napsal rucne parser na root.cz. Turing zni dobre, ale jestli to dotycneho bude bavit, tak si vytahne vsechny otazky v DB a pak si je za odpoledne najde a zase bude vesele spamovat.
Sledovat jak dlouho trvalo napsani prispevku je nesmysl, jenom se tim natrenuji boti, co si chvilku pockaji.
1. Ano ceske mesiace su pre slovakov proste konecna. Napriklad take září. Je to zári, zaří, zarí, zárí, zari? Preto neznasam odpovede kde je nutna diakritika.
Co sa tyka spamerov tak je viac menej zufale branit sa spamu. Riesenim je ist im naproti. Ak root.cz spamuju viagrou treba si neaku objednat na neexistujucu adresu a neexistujuceho cloveka. Tymto vyzyvam citatelov ktory pouzivaju unix-like systemy (nehrozi teda ze si zasvinia system) aby toto cinili. Dajme si zavazok: "Kazdy den jedna objednavka".
PS: Ja osobne zase odpovedam na spamy tych chudakov co chcu previest peniaze. Plytvam ich casom. Ak by nas bolo vela myslim ze by nestihali.
[38.] Nic moc.
Navrh c.1: Predstavte si telesne postizeneho, treba slepce nebo paralytika, ktery ovlada pocitac pusou. Nebo proste obycejneho nesiku. Oni jsou radi, ze jakz takz nejak mohou psat a vy po nich chcete, aby hrali Doom.
Navrh c. 2: Taky nic moc. Chci videt, co odpovite, az na vas vybafne otazka typu "Jake cislo bot nosi Franta Trdlo z Drzkova?" nebo "Kolik vlasu mel Leon Trotsky tyden pred svoji smrti?".
Jedine spravne reseni by bylo posilat vsechny prizpevky do Microsoftu k overeni. Koneckoncu, naprosta vetsina spamu pochazi z tech jejich vypotku, tak at si tam vybuduji multijazykove oddeleni na reseni problemu spamu.
> PS: Ja osobne zase odpovedam na spamy tych chudakov co chcu previest peniaze. Plytvam ich casom. Ak by nas bolo vela myslim ze by nestihali.
Dobry napad! Na kazdy email co prejde cez spam filter odpoviem nahodnym textom
> Povinná registrace.. čtenáři začnou šíleně řvát
Ani nie - na inych forach sme si uz zvykli
U odpovedi na otazku by mela byt akceptovana odpoved bez diakritiky. Setkal jsem se na nekolika webech s tim, ze byla vyzadovana odpoved s diakritikou a to jeste ke vsemu ve zcela konkretnim kodovani. Diky tomu nebylo mozno prispet z ruznych mobilnich zarizeni, kde diakritika bud vubec neni nebo je v jinem kodovani. Ono ani z pc to mnohdy neslo, kdyz clovek nevedel, jake kodovani je vyzadovano.
[38.]
K návrhu č.1 : Možná by bylo lepší, kdyby komentář přidal někdo, kdo umí udělat nějakou jednoduchou třeba jen čárovou flash hru - grafiku. Jde prostě o to aby se znesnadnilo automatizované překonání takového úkolu. Systém by totiž musel pochopit logiku hry - úkolu a sám simulovat hráče aby uspěl přičemž by se musel od počátku chovat poměrně logicky, jinak by brzy ztratil příležitost hru zdárně dokončit. Příkladem takové "hry" by mohl být půlminutový pohyb symbolu autíčka po vymezené dráze ( nejde tedy o žádný Doom ) :)
[24] bod 3 – možná to funguje, ale dost tím trpí přístupnost – co když má někdo jen textový prohlížeč nebo vypnutý JS?
Kolik spamu přichází z českých IP adres? Pokud je ho minimum nebo dokonce nula, šlo by českým IP adresám CAPTCHu odpustit. Podobně by to šlo udělat s jazykem – je většina spamu anglicky? Naopak komentáře uživatelů jsou česky (případně slovensky).
[24] bod 3 - ak dám vo formulári "Enter", tak to tiež ide cez implicitné submit tlačidlo. Uznávam, že v diskusiách sa používa textarea, ktorá enter interpretuje inak, takže to nie je až taký významný problém. Ale ak zabudnem vyplniť iné pole (meno, email, ...), tak sa do textarey už nevrátim a odošlem to enterom. Znamená to, že som spamer?
Ale inak celkom dobré nápady. :)
Už to tu bolo spomenuté, ale skúsili ste http://akismet.com/ ?
[46.] Take si vsimnete, ze na slusnych webech maji pro nevidome zvukovou captcha. I tak jim to ale, kvuli spamerum, musi dost komplikova zivot. Spamerum by mely byt vypichovny oci, aby si toho take uzili. Samozrejme az po te, co si odpracuji 20 let v kamenolomu nebo medenem dolu.
[58.] Vzhledem k tomu, ze nazory na to, ktera divka je pekna, se dost lisi napric populaci, byla by tak vyrazena znacna cast uzivatelu, pokud maji jiny vkus, nez autor otazky. Otazka musi mit jednoznacnou odpoved.
[49], [53] ... vim, ze to neni idealni co se pristupnosti tyce - on clovek muze pouzit textovy rezim, takze by na nej samozrejme vykoukly i policka, ktere nesmi vyplnovat. i tam uz by mohl vzniknout problem.
se `submit` je to pikantni, to uznavam. samozrejme odchyceni entru by slo opet udelat pres JS - aby neodeslal formular, nebo odeslal formular pomoci druheho tlacitka.
co tak ale ctu diskusi a vselijake napady s hrama, flashovejma / js vecma, na ktere bude clovek reagovat (a bude ho to zdrzovat) mi tyhle veci prijdou asi jako nejmene "invazivni"... uzivatel by pak mel moznosti: registrace a prihlaseni, zapnuti JS a CSS (neprohlizet web v lynxu :D)
... a co se tyce mereni casu - jiste, boti by se naucili chvilku cekat. jenze pak by se zdrzel cely proces spamovani (strojove prolejzani odkazu a odesilani formularu - bot by musel cekat. misto 1000 prospamovanych sidkusi by stihl prospamovat jen treba tretinu)
... tak si vzpominam, ze kdyz sem kdysi hral Tomb Rider, tak pokud sem si chtel nacheatovat naboje, musel sem s Larou udelat nejake otocky, skocit sem a tam, ...
... reseni diferencialni rovnice by asi take slo... mozna by stacila nejaka dopravni uloha s distribucni matici. pro humanitne zamerene by pak mohl dobre poslouzit nejaky preklad cinstiny nebo zafilozofovani si...
(a samozrejme cely tento post je jen takovym spamem, neberte to vazne)
Ja to na svem foru delam tak, ze registrovany uzivatel muze prispevek oznacit jako 'spam'. Tim se prispevek okamzite schova a nikdo ho nevidi, a admin ho musi manualne zkontrolovat (potvrdi ze je to spam nebo ho necha zobrazovat).
Prispevky oznacene jako spam ze analyzuji (rozeberou na slova) a do databaze se ukladaji ty slova, ktera byla ve spam prispevku.
Pri porizeni noveho prispevku se pak kontroluje, jaka je pravdepodobnost, ze je vkladany prispevek spam (viz bayes na vikipedii, je to celkem jednoducha matematika). Pokud je prispevek povazovan za spam z vic jak 80%, musi uzivatel vyresit turning test. Tzn. neotravuje to vsechny uzivatele, ale jen takove jejichz prispevky jsou pravdepodobne spam.
povinna registracia. aspon sa konecne zaregistrujem. a tym sa vytvori zaujimava moznost (teda mozno uz je, mozno ju treba doprogramovat - neviem nie som registrovany :-) ) nastavit si nezobrazovanie prispevkov od ludi, ktorych prispevky z nejakeho dovodu nechcem citat. a hned by som si zaklikol 11 aj 52 ;-)
>> Jsem zastáncem otevřené diskuse ...
zajimave, pod touto zpravickou - http://www.root.cz/zpravicky/instalace-gimp-2-6-9-do-ubuntu-10-04-lucid-lynx/ - redakce smazala zcela korektne napsany prispevek, kritizujici pouze obsah zpravicky. Pikantni je, ze doted ukazujete v nahledu 4 komentare - chtelo by se to taky nekdy podivat do zrcadla, pane sefredaktore :)
a klidne smazte i toto.
A co takhle naprogramovat nějaký zaměřovací kříž jehož poloha by byla náhodná ( +-50 mm ) vzhledem ke kurzoru a potvrzovat odeslání příspěvku tím že kliknu na nějakou bitmapu ( terč ) tímto sekundárním kurzorem. Taky hra, ale trochu snadnější a mám pocit , že by byla snadnější než rozluštit text.
S komentspamem bojuju průběžně od roku 2004, tak si dovolím drobné shrnutí a pár poznámek, co jsem v praxi zjistil...
Zaprvé: metody které počítají s JavaScriptem jsou na Rootu neprůchozí, protože je tu nadkritické množství uživatelů, co si Roota čtou na svém logaritmickém pravítku z roku 1956. Ti nemají JavaScript ani obrázky a písmo jen bílé na černém. Jsou schopni nadávat, proč tu jsou ankety udělané pomocí JS, ti by něco takového považovali div ne za zásah do svého lidského práva komentovat.
Zadruhé: Návrhy typu "black list" a "ověření pomocí analýzy slov" jsou poněkud romantické. Až vám za noc přijde 20.000 komentářů, kde budou odkazy jako "http://en5v8wjvt.com/d45nhs487" a "http://z54gsvt.bfsrv54t.net/", zabalené do náhodného odstavce z jiné stránky vašeho webu, tak hned ráno pochopíte, že tohle fungovat nebude.
Zatřetí: Poměrně účinné opatření je dnes OpenID nebo i jen prostá nutnost dvojího submitu. Zítra to asi už účinné nebude.
Začtvrté: Čím dál tím větší problém jsou ruční vkladači. Takový Pákistánec nebo Ind dostane prohlížeč s pluginem, co umí průběžně měnit proxy, k tomu seznam webů a seznam textů, a jeho úkolem je jet, vkládat a opisovat CAPTCHA a klikat na "nejsem robot" a psát číslici do "enter year", protože za deset komentářů dostane cent (střílím od boku). Jistě, je to dražší než botnet, ale je to zase "stará dobrá ruční práce".
Zapáté: Kontrolní otázky "kolik je X plus Y" nebo "jaký je operační kód instrukce DAA na procesoru MC68000?" (Odpověď: MC68k nemá instrukci DAA) jsou možná dobré jako "minimal IQ test", ale pokud by o to někdo moc stál, tak si ten slovník otázek a odpovědí udělá. (Hezky má Minimal IQ test vyřešený jistý blogger, který má pod formulářem tlačítko s nápisem "Tímto se to pošle? Ne!" a pod tím do věty zakomponovaný submit odkaz.)
Zašesté: Skrytá políčka pomocí CSS jsou falešný pocit bezpečí. To že zatím na českém webu není jejich překonávání víc zjevné není tím, že by to nešlo, ale proto, že český web je pro opravdu velké spammery stále ještě nezajímavý. Až bude zajímavý, udělají si spammeři pro každý zajímavý web vzorek toho, co se stane při opravdovém odeslání komentáře, a věřte že ani prohazování políček, rafinované přebarvování a přejmenovávání není pro vycvičený algoritmus překážkou.
A zasedmé z trošku jiného soudku: Může mi někdo vysvětlit, proč tlačítko "nahlásit jako spam", co funguje v diskusích, čtou lidé jako "Tenhle komentář je mi nesympatický a někdo by ho měl smazat"? (tolik k nápadu "spam mi označí lidé", který možná na relativně uzavřeném fóru funguje, ale tady ne.)
Abych byl trošku konstruktivní: Asi nejlepším řešením pro letošek a možná i příští rok by bylo nasadit OpenID, a to i interně (tedy ono "společné přihlašování na servery IInfa" by se chovalo jako OpenID provider a servery by požadovaly autentizaci buď uživatelským jménem z IInfa nebo obecným OpenID účtem). Neautorizovaní by pak byli pruzeni mezikrokem s CAPTCHA/IQ testem.
[68] Podobná CAPTCHA před časem (cca 2007) proběhla webem - pod komentářem byla fotka, kde byla náhodně vybraná oblast cca 30x30px nějak vizuálně odlišená (jiný jas, víc šumu apod), a člověk měl kliknout právě do té zvýrazněné oblasti. Moc hezké to bylo, ale rozlousknutí bylo snadné - stačilo sehnat od každé použité fotky tři vzorky, a měli jste rekonstruovanou zdrojovou fotku. Porovnat s tím, co poslal server jako challenge už pak byla hračka.
Hlavne nie povinnu registraciu - ak ste si dobre vsimli, tak spammeri spamuju najcastejsie ako registrovani, takze problem je treba vyriesit tak ci tak (a ked sa to implementuje pri registracii, preco nie aj pri komentari?).
Ja som uz niekde pisal, zopakujem sa.
Co u mna nefunguje:
-dynamicke nazvy poli nepomahaju, robot u mna vie precitat label a podla toho sa zariadit
-do prveho pola vie dat meno,
-ostatne polia skusa vyplnat nahodne
-pise aj relevantne otazky do diskusie po anglicky, cim skusa, ako prejst cez kontrolu
-dostane sa cez jednoduchy javascript, vacsinu casu nemeni predvyplnene polia, nie je to pravidlo
-vie uchovavat cookie a nacita si stranku ako bezny navstevnik
Co u mna funguje:
-ukladanie casu navstevy do cookie a prispevky napisane do 5 sekund od navstevy stranky su spam
-input s menom mail, ktory ma label "toto pole nevyplnujte", vsetko schovane prostrednictvom CSS
Funguje ciastocne (skusal som, treba poriadne nastavit / poriadne oboznamit navstevnikov, potom funguje; pri zlom nastaveni odfiltruje aj cast navstevnikov):
-vypocitanie jednoducheho prikladu zadaneho slovne (pat krat osem) - niektori navstevnici nevedia malu nasobilku alebo nevedia, preco by ich mal niekto testovat, tak to nevyplnaju
-bodovanie komentarov, nad urcity pocet bodov je urceny na moderovanie (plus body za nazvy liekov a slova s nimi spojene (enlargement), linky za domeny mimo cz/sk/com/eu/org; minus body za slovenske/ceske slova, ktore sa nevyskytuju v inych jazykoch)
[70] Bylo to myšleno jinak. Nevím jestli to jde zařídit, ale představa byla taková: dle aktuální polohy kurzoru v bitmapě je vykreslován v této zcela prázdné bitmapě zaměřovací kříž, jenž má jediněčný ofset x a y vůči kurzoru který zná server a ten kdo na to kouká. Úkolem je kliknout do příslušného místa v bitmapě tímto zaměřovacím křížem nikoli kurzorem. Serveru se předají příslušné souřadnice kurzoru a ten si spočte zda jste se strefil a požadavek akceptuje a nebo zahodí.
ASIRRA - ratanie maciek a psov
Vyzera to na prvy pohlad hlupo a pravdepodobne ma vsetci znicia pod ciernu zem, pretoze je to produkt Microsoft Research, ale som presvedceny, ze toto by robot neodhalil :)
http://research.microsoft.com/en-us/um/redmond/projects/asirra/
Moj navrh: Registrovani uzivatelia by mohli prispievat bez obmedzenia. Registraciu urobit s potvrdenim az po uplynuti dlhsej doby, napr. 24 hodin. Pre ostatnych by zostala len CAPTCHA alebo nieco podobne. Mozno by bolo pre zahranicnych spamerov tazke odpovedat na otazky typu: Dopln pismeno: velk_ muzi; to sme m_; - gramaticke otazky ktore kazdy z nas hned odpovie. Alebo: "spocitaj samohlasky v prvom slove"; "Kolko je tuect bez piatich?" "poludnie deleno dvoma"
[73] Chvíli jsem zkoušel klikat a už od jedné špatné odpovědi mi to říká, že jsem 'bot'. Navíc je to nějaké otravnější. Možná protože se musí používat myš.
Mimochodem ke CAPTCHE... taková zajímavost. Jednoduchým způsobem by se dala zlepšit úspěšnost řešení CAPTCHA obrázků lidským subjektem tím, že by se písmena v obrázku tvořila tak, aby teoreticky mohla být slovem. Tj. místo úplně náhodných znaků typu 'sXhJks8' používat něco jako 'mifanE8'. Souvisí to s tím, jak lidský mozek zpracovává psaný text.
Jo, keď mal Rapidshare tie mačky, tak z toho som bol celkom slušne bezradný aj ja. :-)
Taký nápad: čo takto kontrolnú otázku pod príspevkom typu "napíšete znovu (štvrté) slovo vášho príspevku", to by asi nepomohlo, však.
A keď sa teraz zamyslím a prídem na geniálny, robotom nezlomiteľný, javascript ani obrázky nevyžadujúci spôsob, čo mám robiť, ako si to mám zaregistrovať? ;-)
No, mě přídou rozumný ty otázky, ale je fakt, že tam je málo možností, chtělo by to něco, kde je počet možnejch odpovědí prakticky neomezenej a s čím by nebylo moc práce, například pátý slovo článku, kterej komentuješ, nebo třetí slovo druhý věty ve třetim odstavci. Další možnost je, že by člověk měl možnost jednou odpovědět na něco fakt složitýho a pak si to pamatovalo jeho ajpinu a už by to dělat nemusel.
[84] To je asi nej řešení.. Možná v kombinaci s OpenID.. Povinná registrace má jeden klad.. Spamera jde zabanovat, resp. mu odepřít možnost přispívat.. V nejlepšíp případě to udělat tak, že si spambot bude myslet že vše je OK, ale jeho post půjde do /dev/null. Tzn. žádné skrývání imputboxů atd.. Protože IMHO je hloupost prozrazovat spambotovi že o něj víme. pokud to autor zjistí, modifikuje bota.
[89] No a to přesně bude dělat OpenID implementace MojeID :) (https://demo.mojeid.cz/)
Petře, stal jsem se tím už taky spammer? ;-)))
Tady se nekdo pekne nastval. ;-) Uprimne receno, Turinguv test se na forech mozna osvedcil, ale odpovidat pokazde na dve otazky mi prijde jako nebetycna pruda. Na druhou stranu prihlasovani ma zase jinou nevyhodu, resp. mivalo. Prispevek, ktery jsem napsal pod registrovanym uzivatelem, byl automaticky zasedly, protoze jsem mel nizkou karmu kvuli male aktivite.
Byl bych pro Turinguv test, pokud by sel zkombinovat s "docasnou amnestii" pro danou IP adresu nebo cookie. Zkratka mi prijde zbytecne cloveka porad dokola overovat, ikdyz je to technicky snazsi, nez si vest tabulku proverenych IP adres / browseru. Pokud zavedete povinnou registraci, hrozi odliv komentatoru a mozna i ctenaru. Prilis otravny Turinguv test IMO hrozi tim samym.
Videl som na viacerych strankach jednoduchu vec co vacsinou funguje: jednoduchy aritmeticky vyraz, nieco ako 2 * 4 - 1.
Treba samozrejme vzdy vygenerovat novy do retazca, evalnut na zistenie spravnej odpovede a potom napr. cez GD kniznicu vyrenderovat do obrazku (pripadne zobrazit priamo).
Povinná registrace na prvním místě.
[91] Možná ubude diskutujících, ale ne nutně čtenářů. Povinná registrace, dle mého názoru, automaticky přinese kvalitnější diskusi, která spíše přitáhne čtenáře. Rozhodně asi více, než poznámky kohokoliv, kdo jde zrovna kolem.
Pokud někdo chce přispívat jako neregistrovaný a má něco skutečně důležitého, ať se smíří s tím, že bude důkladně prolustrován ...
Nemyslím, že pokud budou pravidla jasná a srozumitelná, tak to vyvolá nějaký větší odpor.
Ked ste tu spominali spam filter, tak som si spomenul ze som o nejakom filtri cital (ne)davno na roote. Trochu som pogooglil a nasiel som ho.
http://www.root.cz/clanky/konecne-reseni-v-boji-proti-spamu-v-diskusnich-forech/
Tento "inteligencny test" by snad spam odradil...
V podstatě je mi osobně jedno, jestli si zrovna tento web bude vynucovat nějakou formu registrace či ID. Podstata problému má hlubší řekl bych filozofický základ. Linux , a tom to na tomto webu je, je platforma preferující svobodu, svobodu volby, svobodu konfigurace, svobodu ve způsobu přístupu. A nyní se zde ocitáme na rozcestí. Problém není v tom, že někdo někde za pár centů spamuje. Tento problém nelze překonat. Problém je v tom, že inteligentně naprogramované stroje nabourávají a řekl bych ne neúmyslně onu svobodu. A zpátky k onomu rozcestí. Člověk má na výběr. Na jedné straně bojovat se spamem tím, že bude stroji klást takové úkoly, které pro něj budou obtížné a pro člověka budou vždy znamenat určitý diskomfort nicméně zůstane zachována jeho svoboda. A druhá cesta pak je obětovat vlastní svobodu, ztotožnit svou osobu s jakýmsi databázovým záznamem, umožnit pohodlnělší sledování své činnosti, podpořit globální snahy o identifikaci každého jednotlivce na internetu. Otázkou alespoň pro mne pak bude zda toto vítězství nebude přece jen "Pyrhovo vítězství". Domnívám se, že i tento, možná pro někoho bezvýznamný pohled jednoho z náhodných čtenářů, by měl být tvůrci tohoto webu zvážen.
OpenID s tím, že každá identita bude mít tři stavy:
-OK
-spammer
-neověřeno
Komentář vložený identitou OK bude vidět ihned, ale moderátor (na značení od uživatele) ho mohou označit za spam i s celou identitou.
Komentář od spammera půjde rovnou do koše.
Komentář od neověřeno se nezobrazí, dokud ho nějaký moderátor nepřepne na OK.
V takovém systému bude mít nutnou práci moderátor: schvalovat komentáře od neověřených identit a nahlášené komentáře.
Ale spam neprojde v podstatě žádný.
A preco by sme mali vymyslat nieco ako zamedzit spamu? Co keby sme spamerom dali to co ziadaju? Hadzu do diskusii linky tak asi chcu aby na ne ludia klikali. Pouzivaju na to pocitace a rozne boty tak ved aj my mame pocitace a niekto by mohol aj bota napisat a ten by stale dookola nacitaval tie ich stranky. Viac ludi viac pristupov na ich stranky a mozno by sa uz potom necitili tak osameli ze musia vsade prosit o klik.
[97] S tím automatickým zkvalitněním diskusí bych si nebyl jistý. Vím o několika stránkách, které zavedly povinnou registraci a žádné zázračné zkvalitnění nepřišlo. Třeba na Týdnu se teď počet diskusních příspěvků pod články pohybuje v průměru někde mezi 0 a 1. Na Lidovkách je polovina příspěvků věnována vzájemným urážkám, což je horší, než před zavedením registrací. Na Novinky píšou vesměs dementi, stejně jako před zavedením registrací. Akorát eliminovali "rasisty" a největší prudiče, takže diskuse jsou sterilnější, ikdyž, pravda, více k věci, asi tak odhadem o 5%. Kvalita ale pořád bídná.
Root si podle mě i bez registrací drží laťku poměrně vysoko, díky svému užšímu zaměření. Povinná registrace asi eliminuje některé občasné prudiče, nicméně odradí i diskutéry typu "potulný guru", kterým nebude stát za to se zaregistrovat. Jestli to odradí i od čtení, je otázka, ale určitě to zúží spektrum kvalitních reakcí. A třeba u zpráviček mi přijdou ty reakce většinou hodnotnější, než zprávička sama. Tedy musím říci, že to alespoň pro mě bude představovat částečnou demotivaci vůbec na Root chodit. Já bez Roota žít můžu a on beze mě taky, ale otázka je, kolik nás takových bude.
Co toto: zobrazit několik ikon s piktogramy (kočka, pes, myš, žena, muž, letadlo, vlak...) a kliknutím na správný piktogram se odešle příspěvek. Tedy něco jako tři submit tlačítka.
Při kliknutí na odkaz pro přidání kometáře se vygeneruje nějaké id( v session) a k němu se na serveru přiřadí správná odpověď. V DB může být více piktogramů pro správnou odpověď.
Uživateli se předhodí výzva odešli kliknutím na myšku ;-) Jak už někdo zmínil, klidně ještě může být na stránce skryté tlačítko typu submit nebo falšná captcha apod.
A což takhle modifikovat klasickou CAPTCHU takto:
- opište jen písmenka která nepadají doleva
- opište jen velká písmenka nikoliv číslice
- opište jen červená a modrá písmenka
- opište jen malá písmenka
- opište vše kromě prvního a posledního znaku
- opište druhý, pátý a poslední znak
- taky by se mohla použít klasická šifra, každý by si koupil "Příručku k Ubuntu"
a na výzvu zadejte 3 slovo na stránce 36, a řádku 15 ...
- případně vylepšená šifra : zadejte synonymum k 3. slovu na stránce 36, a řádku 15 ... To nedají ani ti Indové :)
- a nebo zadejte 6 pád k 3. slovu na stránce 36, a řádku 15 ... to už by nedal leckterý místní :)
[120] A zbyli by tu akorat BFU ubuntaci - ti ostatni nemaji prirucku. Kdyztak, tak by se muselo jednat o neco v PDF, nejak nenapadne distribuovaneho mezi prizpevovatele. Otazka je jak, aby se k tomu nedostali spameri. Osobni navsteva redakce je pro vetsinu uzivatelu neprakticka. Osobni navsteva pana Krcmare u uzivatelu rovnez.
Zadání a klíč k provedení musí být obecně snadno dostupné i pro spamery, jsou to totiž i když s tímhle asi někteří zcela nesouhlasí, taky zřejmě lidé. No nicméně zjištění zadání a řešení úkolu by mělo být obtížně algoritmizovatelné, tedy alespoň se domnívám. A chce-li někdo eliminovat nečesky myslící a mluvící pak by toto zadání mělo být ryze česky slengové, obtížně cizinci či automatickými systémy přeložitelné a pochopitelné. Třeba: Kolik škopků je basa piv ? :) Převeďte na litry jedno štěně :)
[88] co tak odeslany spam zobrazit, ale jen tomu, kdo ho pred chvili odeslal. pokud tedy bot nebo dobre placeny indian kontroluje, zda jeho prispevek prosel, tak bude spokojen a:
- zada stejnym zpusobem spoustu dalsich prispevku, cimz stravi spoustu casu a nebude otravovat jinde
- nebude zkoumat proc mu to nefunguje, tedy zpomali se vyvoj botu a jejich postupu
Toto samozrejme v kombinaci napr. s tou fotkou lidskych postav a zvirat, aspon se clovek bude mit na co koukat :)
Vsechny mechanismy zalozene na obrazcich a klikani na ne nebo do nich jsou velka prekazka pro nevidome a spol.
Reseni jsou tu jiz popsana mnoha, faktem zustava ze reseni by melo pokud mozno ne jen branit spamu ale i neco stat spamera. Znamy je treba hashcash. Coz ma samozjreme taky sve vyhody a nevyhody. Namitka, ze spameri na to nepouzivaji svuj vypocetni cas neni relevantni - relevantni je to, kolik dokazi vygenerovat spamu za casovou jednotku.
ak uz bude nasadena kontrola, ci na druhej strane je cesky hovoriaci clovek, poradie technik nasadenych na tuto kontrolu je nasledovny:
1. text
2. obrazok
3. javascript
4. flash
ak by sme chceli zahrnut uplne vsetkych pouzivatelov, pouzitou technikou bude nieco v style turingovho testu, teda slovne zadanie a na nu slovna odpoved. ak sa pouzije obrazok, uz vyradime zopar percent pouzivatelov, ktori nepouzivaju graficky browser. ked uz niekto graficky browser pouziva, moze mat vypnuty javascript. dalsi sa zase javascriptu neobavaju ale flashu ano.
myslim si, ze flash ani javascript neprichadza do uvahy. idealne by bolo nechat moznost prispievania bez registracie/kontroly a nasadit/zlepsit algoritmy odhalovania spamu na strane servera po prijati prispevku (co si samozrejme uvedomujem, ze je podstatne tazsie).
co sa tyka obmedzenia slovakov ceskymi testami, tak na to sa moze rovno zabudnut. je to cesky web a slovaci, ktori tu chodia cestinu ovladaju. vo vseobecnosti slovaci ziju ceskym jazykom/kulturou dost vyrazne - v tv idu cesky dabovane filmy, citame cesku literaturu, browsujeme ceske weby a pod. viem, ze naopak je to problem a dokonca cesi slovensku literaturu prekladaju. par odlisnosti, ktore sice mnohi nevedia naspamat v style pomenovania mesiacov, parny/nepary - sudy/lichy si kazdy bez problemov dohlada (mozno mnohym uz len toto chyba, aby vedeli po cesky dokonale).
Možná už to v diskuzi zaznělo (něčetl jsem úplně všechno), ale kdesi jsem četl návod na jednoduchý Turingův test. Vypíše se libovolný různobarevný text a návštěvník má za úkol opsat část textu. Např. Opiš první 2 zelená písmena. Text se generuje náhodně a nápověda co opsat je pokaždné jiná, někdy opsat písmena, jindy čísla, odpředu odzadu atd. fantazii se meze nekladou.
Pravda pro barvoslepé nic moc :-)
!!! NAPAD !!!
SITUACIA: som neregistrovany navstevnik.
pre pridanie 1. komentaru - pouzit ochranu napr. odpoved na cesku otazku
v pripade spravnej odpovede a odoslania commentu SA VYGENERUJE TOKEN A ULOZI DO COOKIES, az kym cookie nevyprsi, komentare 2, 3, 5 sa budu dat odoslat bez otazky
Ať jsou návrhy na zablokování jakékoliv, prakticky dojde vždycky k nedokonalému návrhu, který bude za pár týdnů/měsíců zlomen, nebo systém, který je nepouživatelný.
Spíše než se snažit zablokovat spammery, je lepší software, který je nadetekuje a roztřídí do kategorií. Podle závažnosti kategorie se budou komentáře mazat. Ty, které budou považovány za sporně vyhodnocené (vyhodnocení by mělo probíhat tak, aby jich nebylo mnoho) vyhodnotí nějaký člověk a buď je smaže, nebo odešle email přispěvateli, aby potvrdil příspěvek (velmi výjimečný případ). Pokud nepotvrdí,komentář se smaže...
Velmi nevýhodná je nutnost nějaké vyhodnocovací komponenty, která bude určitě náročná na výkon.
Což použít uživatelské hodnocení příspěvků jako na stackoverflow.com?
Použít se dá i filtrování podle obsahu (čímž by asi neprošel ani příspěvek 136), myslím, že by se dal napsat skript, který by dost přesně detekoval, že někdo používá leet speak.
Třetí řešení je koupit si cvičenou opici, která bude databázi 2x za hodinu filtrovat.
A co kdyby, příspěvěk 140 ( zatím nezveřejněný ) byl onou CAPTCHOU a musel být potvrzen příspěvatelem 141 jako platný a nebo zamítnit jako spam. Jinými slovy každý následující pisatel by zároveň kontroloval, že předcházející příspěvek není spam. To by nemuselo trvat moc dlouho, koneckonců většina čtenářů čte poslední příspěvky stejně.Teď ještě jak zařídit aby si pamer neschvaloval své příspěvky sám sobě :) ... tudy cesta tedy asi nevede, že :)
Příspěvek 102 moc pěkně literárně stvárnil přesně to, co mě napadlo jako první. Díky za něj.
Osobně si myslím, že tu zazněla řada návrhů, které by pro dokonalou ochranu bylo vhodné zkombinovat.
Po vyškrtání těch, které omezují nějakou skupinu uživatelů (tlačítka přesouvaná pomocí css a skrytá pole - chudáci nevidomí) a těch, které uživatele nadměrně buzerují (ve dvou pokusech ze tří jsem ty prokletý kočky nedala) zbydou ty použitelné a ty zřetězit.
Něco jako:
- Příspěvek byl napsán pomalu, asi ho nepsal bot, odeslat.
- Příspěvek byl napsán podezřele rychle, budeme muset autora, co to zkopíroval z wordu obtěžovat se čtvrtým měsícem v roce (né žádné složitosti, nebo dospěje k názoru, že to vlastně tak moc poslat nechce).
- Oba předchozí příspěvky zkontroluju proti databázi spamů a případně nezveřejním.
- Do diskuze přidám možnosti "Nevhodný příspěvek" a "Označit jako spam" a budu doufat, že toho nebude adminovi nahlášeno moc.
A určitě by se dal řetěz rozšířit podle implementačního času a dostupných prostředků ;-).
Nase jedina vyhoda je ze mluvime cesky (bratri slovaci odpusti), takze jsme maly trh a indove ani boti se kvuli nam cesky ucit nebudou.
Udelal bych mimo jine dve veci
1) stranku pro vlozeni komentare bych pokazde generoval nahodne (ale tak aby opticky byla stale vicemene stejna)
2) komentare bych nezobrazoval ihned, ale se zpozdenim, treba pul hodiny.
3) prispevky ktere se tvari podezrele (obsahuje odkaz mimo root + dalsi polovene servery, obsahuje divna slova atd, exoticke IP) overit kontrolni otazkou
Toto bude vecny boj. Aj ked masivne spamuju boti, za tym je vzdy nejaky clovek. Ak ma ten clovek dostatocnu motivaciu, nakoniec zisti recept na to, ako prekonat momentalnu ochranu. Napriklad ako bolo spomenute, js a captcha kedysi fungovali, ale teraz uz nezaberaju. Cesko-slovenska jazykova bariera zatial tusim funguje, ale casom fungovat tiez prestane. Povinna registracia? Tak nebude za den 20 000 spamovych diskusnych prispevkov, ale 20 000 ziadosti o registraciu - a nech admin hlada, ci medzi nimi nie je nejaky normalny clovek, ktory sa naozaj chce len registrovat. Okrem toho si myslim, ze odhalit spam v odoslanom prispevku je jednoduchsie, ako odhalit spambota pri registracii...
Kym root.cz sa primarne zaobera publikovanim clankov, spameri sa primarne zaoberaju prekonavanim antispamovych ochran. Pretoze sa tym zivia. A nemaju nic ine na robote.
Jedno riesenie vidim v tom, byt vzdy o krok pred spamermi. Teda nie vymysliet a implementovat nejaku perfektnu ochranu proti momentalnym botom a potom "si vylozit nohy" a tesit sa z toho, ako som s nimi vypiekol... lebo po case to prelomia a potom treba vsetko nechat tak a zrazu ist riesit spamerov. Ochranu treba obmenovat priebezne, podla moznosti este predtym, ako ju prelomia... Mozno nemusi byt velmi perfektna, hlavne aby bola ina ako pouziva ostatny internetovy svet, lebo cim je typ ochrany rozsirenejsi, tym je vacsia motivacia na najdenie jej obidenia.
Dalsia vec je, preco vlastne existuje spam? Lebo moze. Vlady sa nahanaju za fiktivnymi teroristami, ale ze spameri vlastne terorizuju cely internet a sposobuju tym velke skody, to ich netrapi. Mali by ich lovit. Spamera by som mal nahlasit nie administratorovi webu, ale nejakemu uradu a ten by sa tym mal zaoberat a ist po nom. A mala by fungovat medzinarodna spolupraca, mala by byt moznost spamerov vystopovat, zmrazit im ucty, zavriet ich do basy. Zadavatelov takisto a este viac. Ano, ja viem ze dnes to znie totalne utopisticky a nase male krajiny s tym same nic nenarobia. Dnes na to nie je vola. Ale aj ked to je beh na dlhu trat, je to dalsie navrhovane riesenie.
Este jedna vec sa da porovnat s bojom so spamermi - boj s "piratmi". Kym to bolo len na urovni technickych prostriedkov, pirati vitazili. Ochrany proti kopirovaniu hier a DVDciek velmi nezaberali. Odkedy sa ale zapojila brutalna legislativa, pirati to maju omnoho tazsie - a uz to nie je velmi o ekonomike, skor o filozofii (kvoli kontroverznosti autorskych prav).
Ještě jedna možnost myslím nebyla zmíněna. Jistě si pamatujete jak v některých hrách musíte na jednom místě něco nastavit, aby jste si na jiném vzdáleném místě otevřeli tajné dveře ... Implementací obdobné alternativy, kdy na jedné stránce třeba ze tří možných nastavíte nějaký příznak a tím teprve na jiné stránce umožníte zobrazit nějaký test jako je CAPTCHA a nebo povolíte odeslání příspěvku. Automatický spamovací systém by totiž musel samostatně a smysluplně přepínat mezi stránkami,vyhodnocovat situaci, volit několik alternativ... stránečky by navíc mohly mírně alternovat svou kompozici a tím opět poněkud komplikovat orientaci. Nevím, bylo by něco takového příliš obtížné a komplikované ? Bylo by to účinné ?
Napadlo mne, trochu vylepšit předchozí návrh 144. Zadání by mohlo znít následovně : Klikněte na symbol "Jablíčka" na stránkach zdroják.cz ... a tam pod některým článečkem jenž je třeba na titulní stránce by byl onen symbol.Pisatel by musel tedy přejít na jiný sever a tam vyhledat skrytý symbol - to by mimo jiné zlepšilo návštěvnost :) spolupracujícího serveru ... Symbol by byl na jiné IP než původní root.cz což by bylo pěkně matoucí pro automatizovaný systém, a zobrazoval by se dynamicky pouze tomu uživateli který ho hledá a když by systém věděl, že se jedná o spam tak by po vyhledání onoho "jablíčka" mohl dostat úkol vyhledat zase někde jinde "hruštičku" a tak pořád dokola případně by se mu mohla podstrčit falešná stránečka s odesíláním příspěvku a nebo by se mohl navést na nějaké stránečky s tlačítky a políčky a CAPTCHOU ... kde by se automat vyřádil a tím by sám sebe identifikoval, pisatel totiž nemá důvod vyplňovat kde jaké políčko ...ke kde jakému článku, "kdo si hraje nezlobí"... spamer by ztratil kontrolu nad efektivností své činnosti ...
Rozvinu svou myšlenku dále. Obecně vzato síla internetu je právě v roztříštěnosti. žádný současný systém nemůže napadat všechny servery a všechny stránky najednou, to zřejmě bude slabina jakéhokoliv spamovacího algoritmu. Tyto algoritmy, ačḱoliv jsem doposud žádný neanalyzoval budou zaměřeny buď na jedinou IP adresu a nebo na vybranou, nějak obsahově či tématicky související skupinu adres. Například několik serverů stejného majitele. To, že obecně na stránkách existují linky na jiné servery je běžná záležitost, takže to není příliš velké vodítko pro žádný auto analytický podsystém spamovacího software. Pokud dojde k rozdělení místa kde se dovím podmínky, které musím splnit pro zadání příspěvku s místem, kde tuto podmínku splním a místem kde bude uplatněna bude muset analytický systém řešit souvislosti mezi stránkami na různých serverech,což znásobí počet možností a což nemůže dělat zcela bezmyšlenkovitě metodou pokus a omyl byť extrémně rychle, neboť by to jeho pozornost přenášela na stále jinou IP adresu a jiné stránky. Řekl bych, že použití nějakého typu vlastního proxy serveru ( o tom nic netuším tak použiju česky něco jako "dynamické přeadresovávání těchto serverů" ) by mohlo být účinným obranným mechanizmem - zabránilo by totiž druhé straně získat jistotu, že je na správném serveru a na správné stránce, musel by stále analyzovat obsah stránek a pouze s určitou pravděpodobností odhadovat řešení. Nějaké takové řešení by pak umožňovalo vytvářet pro spamery pasti v podově slepých bezcenných stránek, falešných odkazů, submitů, různých testů atd, a na těchto falešných cestách by mohly být ony automatické systémy identifikovány a voděny za nos, což je asi nejúčinnější způsob obrany. Je třeba vyplýtvat jejich jedinou zbraň a tou je strojový čas, který bude beze sporu věnován prioritně důležitějším cílům možná skutečně armádním či vládním. Ostatně kdo ví, zda nejte vystaveni cvičnému útoku nějaké elitní kyber jednotky :)
podla mna by stacila nejaka nestandardna captcha, ktora by sa vyhla lusteniu tazko citatelnych napisov. napr. v labe na troji sme kedysi zacali pouzivat pocitanie prstov:
http://labts.troja.mff.cuni.cz/prani-a-stiznosti.html
jednoduche, ale funguje to. neviem ako to spameri robia, ale nemyslim, ze skumaju kazdy web osobitne. ak ano, tak si myslim, ze aj tak by sa dalo generovat nieco, na co nezaberie OCR...
Zdar,
napadlo ma, ze pokial je cielom zabranit spamerovi, aby si vytvoril slovnik pre ceske/slovenske/slangove otazky a odpovede, tak najjednoduhsie mi pride: nevytvorit staticku databazu otazok. Teda okrem povinnej protispamovej odpovede by mohol autor prispevku (idealne iba registrovany) dobrovolne napisat dvojicu - otazka a odpoved. Pravda, toto by musel schvalovat pred zaradenim do db pouzivanych otazok niekto manualne. Ale zasa po niekolkych uspesnych pouzitiach by bola otazka z db odmazana, alebo zneplatnena na nejaku dlhu dobu (mesiac?).
No a potom mi pride vyrazne narocne (pre spammera) - nahodne obmienanie sposobu protispamovej ochrany. Raz jedna otazka, potom dve, potom ziadna, potom pripadne js/css aj otazka.
A blahozelam - dobra diskusia, plna elegantnych napadov. Podla mna to sice spam nezastavi. Ani legislativa to nezastavi. Ale vdaka spammerom mozno budeme mat aspon lepsie ocr a samozrejme dlhsi penis :)
#147 To počítání prstů se mi líbí, ale šlo by vylepšit tím, že by název zaslaného obrázku byl stále stejný - Nemyslím si, že přečíst počet prstů přímo z názvu souboru by byl v případě cíleného útoku takový problém.
Někdo tady již psal o náhodně generovaném terčíku. Velice jednoduchým řešením by byl náhodně generovaný obrázek skládající se například z barevných čtverečků, kde by uživatel musel trefit danou barvu (různých barev by kvůli lidem, kteří mají problémy s rozpoznáním barev muselo být asi málo a dostatečně rozlišitelných). Jako odesílací tlačítko by se použil (který odesílá souřadnice na obrázku, kde bylo kliknuto) právě s tímto obrázkem. A na straně serveru by se vyhodnotilo místo, kam uživatel kliknul.
Zdravim
co použít proti nim jejich vlastní inteligenci? Např. zobrazit obrázek, pole pojmenované tak, aby spambot aktivoval svoje OCR a popis "nic nevyplňujte" ;)
dál mně napadá, což nevím jestli není už opruz pro uživatele - odesláním formuláře (se skrytým polem ID) se zobrazí stránka, jež bude znít "Nyní vyvolejte refresh stránky", příspěvek by se vložil až po druhém zavolání skriptu (znovu odeslat POST), přičemž ono skryté ID musí být stejné i napodruhé.
Jsem velmi potěšen konstruktivním duchem této diskuze - je vidět, že téma boje proti SPAMu a obecně za naší svobodu nás spojuje :) jen tak dál
Díky!
Co tak odlahcit nase servery a vyuzivat na generovanie vereje pristupne zdroje ako Google? Administrator nadefinuje a nasledne spravuje (aktualizuje) databazu slov jednoznacnych objektov, ktore server vyhlada ako obrazky v google a odkazy na prvych 5 zobrazi uzivatelovi (ano, vyzaduje to nejaky cas na parsovanie ale predpokladam ze REGEXP to zvladne hravo). Uzivatel musi napisat slovom co vidi. Server vie odpoved, uzivatel vidi len obrazky objektu. Priklad: http://www.google.com/images?hl=en&tbs=isch:1,isz:i&q=pineapple&aq=f Odpoved je: ananas (vyhladany samozrejme v anglictine, kvoli mnozstvu relevantnych odpovedi) Krasne sa tak vyplytva procesorovy cas spamerov na OCR. Obrazky sa budu menit, vzhladom na algoritmus vyhladavania google.
Jak uz psali nekteri diskuteri vyse, je dobre dat uzivateli vybrat:
- jsi staly uzivatel, pak mas overeny login a po prihlaseni muzes prispivat, jak je libo
- jsi nahodny kolemjdouci (jako treba ja), tak musis podstoupit nejaky test, ze jsi duveryhodny (captcha nebo jinou pakarnu)
[127] pak je tu bohužel problém s tím, že i lidé chybují – takže třeba udělají překlep nebo nepochopí zadání, odešlou příspěvek a mají za to, že je vše v pořádku. Druhý den přijdou do diskuse a zjistí, že příspěvek „chybí“ – začnou nadávat a cítit se ukřivděně, že je někdo cenzuruje. Když udělá člověk chybu, musí ho o tom web informovat – vím, že to nahrává botům, ale s tím se nedá nic dělat.
Asi nejúčinnější mi přijde, aby test vyžadoval znalost českého jazyka a českých reálií – tohle je jedna z výhod „malých“ národů.
No já bych navrhl Turinga pro první příspěvek v dané hodině, pak bez kontroly. Turinga bych však provedl na principu kompletního znáhodnění například pomocí data, či času. Otázky i když by byly stejné, ale díky znáhodnění by se jich dalo vygenerovat velké množství. Bohužel ani to není finální řešení, bo každý algoritmus se dá replikovat. No možná to nějak půjde přes ty vteřiny tam by v době čtení textu bootem byl jiný údaj a správný výsledek by nešel strojově generovat.
A co takhle nechavat bejt na pokoji prispevky (max otravovat nejakou captchou), kde se nevyskytuje zadna URL, pripadne vyskytuje odkaz nekam jinam na roota. A ty na kterejch nejaka URL je, pak otravovat nejakejma dalsima otazkama ci tak nejak.
Pokud mate problem se standardnimi spamery, kteri umistuji do komentaru svoje odkazy (ted ne s nikym kdo chce jen zaplnit komentare nesmyslnejma komentarema typu sdfsdfsdfsdfsdf), mohlo by to resit problem. Tedy alespon mne to problem kdysi vyresilo.
A co skusit jednoduchy test typu fotka bananu a pod tim otazka co je na obrazku? Nebo kliknete na obrazek bananu (dobre tohle bot zvladne nahodnym pokusem). Proste neco jako CAPTCHA jen s jednoznacnymy obrazky veci a misto opisu obrazku jeho popis. Predpokladam ze OCR je na tohle kratky.
A co takhle zkusit Mollom? Funguje pomerne hodne uspesne, neotravuje vubec uzivatele pokud si je jist ze nejde o spam, naopak spam zahazuje. Neni-li si jist, pak vyhazuje CAPTCHU, coz se vsak 99% uzivatelu netyka. Koukam pouzivate wordpress jakozto redakcni system a Mollom je i pro Wordpress:
http://mollom.com/
A co to udělat úplně jednoduše - zrušit diskuse, co s nimi? Proč musí mít každý web diskusní fórum nebo komentáře? Stejně se tam v 99 procentech akorát flamuje o ničem nebo si navzájem diskutující dokazují "kdo ho má většího". BTW jako tady - 164 příspěvků o ničem - třetina vymyslí kraviny jako hry, třetina CAPTCHu (o tom každý dávno ví) a třetina nějaký otázky. 164 + 1 příspěvků o ničem ;)
Dnes není problém zaplatit směšné peníze lidem (v Indii, Číně) za "lidské" spamování, cizí jazyk (např. čeština) není překážkou.
Jak neustále tvrdím, internet v podobě, v jaké existuje dnes, nemá dlouhého trvání. Pokud se bude 99.99% všech zdrojů používat na filtrování a ochranu proti spamu, pak se vše zhroutí. Zřejmě jediné možné řešení je "zabezpečený" internet s povinnou identifikací uživatele, který se do sítě připojuje (což ale bude také hodně složité)
Já osobně jsem se dostal do situace, kdy na fóru probíhá 6 různých antispamových akcí. Výsledkem je to, že skoro každý "normální" uživatel má problém se registrovat, zatímco "spamový" uživatel bez problému spamuje (české otázky jsou hravě zodpovězeny, stejně jako české odpovědi na otázku, co člověk vidí na obrázku, atd.)
O mailu ani nemluvě - 300 spamových zpráv na 1 normální :-(
Myslim ze treba skombinovat niekolko druhov ochran. Prdtym si ale treba uvedomit kteorie spamerov:
1. Automaticky boti nahodne prechadzaju strankami a snazia sa nieco odoslat
2. Boti specialne naprogramovani pre prislusnu stranku
3. Plateni ludia
Prvu kategoriu zrusi css+js (pre nepodporovane prehiadace specialnu stranku)
Proti 2. sa da nasadit iba nieco v style captcha a turing...
Jazyk je vhodny na 3. kategoriu
Kazdopadne Prispevky bez URL alebo s URL odkazujucou na servery vo whiteliste by nemali byt podozrive. Prispevky s URL na iny server by sa mali dokladnejsie preverit.
Dobry napad je implementovat casove obmedzenia (nepovolit poslanie prispevkov do 5s, nepovolit viac ako 3 prispevky v priebehu hodiny ak nie su odpovedou na niekoho ineho...)
Prispevky v azbuke alebo obsahujuce malo cz/sk slov oznacit za podozrive...
Prispevky, kde by bolo iste ze neide o spam pustit, kde by bolo iste ze to spam je nepustit (a voci botom sa tvarit ze presli) prispevky neiste zobrazit iba vo forme odkazu (po rozkliknuti sa da precitat a ohodnotit) moderator sporne prispevky rozriesi.
Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. GNU/Linuxem a Unixem obecně se zabývá již více než deset let a věnuje se především jeho nasazení v počítačových sítích a bezpečnostní politice. Zde bloguje o Root.cz, Linuxu, internetu a světě kolem sebe.
Přečteno 112 285×
Přečteno 89 761×
Přečteno 73 155×
Přečteno 58 106×
Přečteno 54 434×