Svině spamerské a co s nimi uděláme

-vystrielat
-Turinguv test v cestine - nie je mozne tam mat dva testy, jeden SK a druhy CZ - na prejdenie by stacila odpoved na jeden ?

Rad by som poznamenal, ze otazka "Který měsíc je v roce čtvrtý?" eliminuje aj 90% Slovenskeho publika. Moja odpoved by bola "Apríl".

[1,2] Pravda, to by se muselo vyřešit. Možná bychom mohli vymyslet nějaké univerzální otázky. Jestli to tak budeme dělat, určitě na bratry Slováky budeme myslet.

Stači mít dvě správné varianty odpovědí na jednu otazku, jedna česky, jedna slovensky. Na otázku "Který měsíc je v roce čtvrtý?" akceptovat odpovědi "duben" a "apríl".

Relativně se mi osvědčilo pojmenovávat pole formuláře "cesky" robot to nevyhodnotí jako fórum a nesnaží se nic poslat

asi by nebyl problém vybrat otázku, na kterou je stejná odpověď ve slovenštině..

No já osobně vidím problém trochu jinde. Na blogu co jsem měl na rootu se mi objevují v komentářích nové a nové spamy. A to i přes to, že mám všude zakázano vkládání nových komentářů! Takže se domnívám že spameři na roota vkládají komentáře jinou než standardní cestou (SQL Injection? XSS?)

Hlavne prosim nedavajte do turingoveho testu ceske mesiace... :)

A co ta sluzba co pouziva Wordpress, http://akismet.com ?

ceske mesiace a cista /hlavne 3 a tricet apod. :)/ su pre mna zabijak :)
len co na to povie "mbtsale" ?

[8] Tak to berte i jako test inteligence. Najít si seznam českých měsíců a najít mezi nimi ten čvrtý by měl být schopný i poměrně omezený debil, natož průměrný čtenář Roota.

a co tak nieco taketo: opiste prvy a posledne 3 znaky z "dsdgfwhfsgdf" ?

Já bych zrušil komentáře úplně! Kdo chce, ten pošle mail, anebo se zmíní na svém Twitteru nebo Facebooku.

Stejně komentáře každého jenom otravují!

Před lety jsem viděl jeden nápad na autentizaci uživatele, ale mnohem lepší použití by pravděpodobně bylo jako jako ochrana před spamboty.

Jak to funguje:
Uživateli je zobrazena matice obrázků ( ikonek ) o rozměrech ( 3x3, ale může být jakkoliv veliká ) Společně s třemi ikonami, které lze spojit do trojúhelníku. Uvnitř tohoto trjúhelníku je pak vždy jedna ikona, která tvoří vstupní ikonu. Ta trojice ikon se vždy generuje náhodně.

Uživatel je pak vyzván, aby klikl na ikonu, která je ve středu trojúhelníku tvořenými následujícími ikonami...

Při takto malé matici je otázka nalezení správné ikonky 1 - 2s.

Autentizace by se dala ještě udělat pomocí posloupnosti. Např. Klikněte postupně v tomto pořadí na následující ikony ...

Heh, možná si to i sám naprogramuju :)

veci jako [9] od mbtsale by snad slo jednoduse filtrovat dle obsahu prispevku (spousta url a zadny text). Myslim ze vetsine lidi staci 2-3 url na prispevek nebo k tomu pridaji vice vysvetlujiciho textu.

Co člověk při psaní komentáře dělá a stroj (předpokládám, že stále) nikoli?

Píše jednotlivé znaky, tiskne klávesy. Stačí JS odchytávat keypress pro textarea, měřit délku psaní příspěvku, pravidelnost mezi jednotlivými stisky a v případě, že přibude kus textu naráz, ověřit, že byla stisknuta kombinace CTRL + C nebo bylo nad textareou stisknuto pravé tlačítko myši. Data ukládat a poslat spolu s příspěvkem na server k vyhodnocení.

Pokud testem entita neprojde, pak vrátit klasického českého turinga - pokud projde, postnout příspěvek. Předpokládám, že 99 procent uživatelů by si ničeho nevšimlo.

Tip: Já teď v jednom projektu sleduju hlavičky požadavku, a ta největší mrcha spammerská sice používá podvržené UA a různé IP, ale accepted-encoding a accepted-language nechává prázdné.

[15]presne takovy filtrovani podle obsahu prispevku me pokazdy nasere. Clovek se pise s komentem, odesle ho a zjisti, ze z nejakyho duvodu byl detekovanej jako zavadnej prispevek, pritom se ani nedozvi proc. Takovouhle ochranu jen v pripade ze se bude prispevek validovat v realnem case a uzivatel se dozvi, ze zadal moc url, toto a toto blacklistovane slovo....

http://php.vrana.cz/ochrana-formularu-proti-spamu.php

Nový spam bývá dost často stejný nebo podobný těm předchozím. Tedy, odkazuje na stejné servery (nebo část) jako tři jiné příspěvky přidané v poslední době, nebo spamy smazané administrátorem. To se asi nedá použít jako filtr při zadávání, ale může to fungovat jako vodítko pro dodatečné vyhledání a ruční mazání.

Coz otazka typu zadejte aktualni rok.. ala abclinuxu.cz?

[19] Ano, Jakub u nás řadu let pracoval a jeho ochranu máme právě nasazenou na serverech. A nefunguje.

[21] To tam teď máme, vyplňuje to automat. Můžeme zkusit ten JS vypnout a donutit uživatele to zadat ručně. Ale to je stejný princip, který navrhuji nahoře - odpověď na českou větu.

A co použít http://disqus.com/?

[19] ...

ja jsem uspesne pouzival v diskusi k jednomu webu vice opatreni najednou:

1) meril sem cas prichodu na stranku a odeslani formulare - spambot vetsinou vyplni a odesle. cloveku trva nejakou dobu, nez neco napise

2) prvky formulare jsem prejmenoval na nejake nesmyslne jmena (uvazoval jsem i nahodnem pojmenovani prvku a preneseni jmen v session) a do formulare pridal policka jako `email` nebo `name` a schoval je v CSS. pokud prisly vyplnene, jde o bota

3) misto `submit` jsem pouzil obycejny `button` s javascriptem. `submit` tlacitko bylo schovane v CSS, pokud byl formular odeslan pomoci `submit` tlacitka, opet to prislo od bota

... uzivatele to nijak neomezovalo a spam zadny. samozrejme neslo o zadny zazracny web - nic lakaveho pro spamery. u neceho vetsiho by to byla asi jen otazka casu, kdyz by to nekdo (i relativne jendoduse) obelstil.

Ruky a nohy im dolamat, svine spamerske.
Q/A generovane dotazniky, kludne aj s moznostami odpovedi, sa osvedcili. Len treba vhodne navrhnut otazky.

#24 - velmi dobre

Nejlepší je ta otázka. Hlavně ne Captcha. Mě to trvá vždycky asi 5x než se trefím.:-)

Ucinne a jednoduche je pouzivat scitanie cisel, ktore su napisane ako napr: dva plus osem. Vysledok bude bud desat, alebo deset.

Ta #24 je rozumna

[24] část tohoto řešení jsem několikrát použil také, zkrátka falešné inputy "vhodně" pojmenované a spolu s obsahovou kontrolou (if odkazy > 2) jsem tak na svém blogu eliminoval spam zatím na 100%, což jen dokazuje více než tříletá statistika. Mimochodem, tipy od Jakuba Vrány mi nefungovaly už tehdy ;)

Registraci a JS veci povazuji za nevhodne (JS = nelze pouzivat z lynxe).

Jako nejrozumnejsi by mi prisel turinguv test s relativne dlouhymi otazkami a kratkymi jednoznacnymi odpovedmi (casto je nutne dospecifikovat v otazce veci, jako: bez mezer, bez diakritiky, vsechna pismena mala, cisla cislem a ne slovy apod.

Je lepsi klast otazky, na ktere se da odpovedet jednim slovem, nebo jednim cislem (odpada dost nejednoznacnosti).

Dalsi zajimava moznost je pokladat jednoduche otazky z Linuxu/UNIXu - u tech lze predpokladat, ze na ne obec ctenarska bude znat odpovedi.

Treba: "Kolik bitu ma i386", "jak se vetsinou jmenuje prvni ethernetova sitovka", "cela cesta k prvni partition na prvnim disku (na starych jadrech prvnim SCSI disku)", "port pro http" a podobne. A navic - i kdyby nekdo neco z toho nevedel, tak lze ocekavat, ze na tomhle serveru je proto, aby se takove veci dozvedet, takze by mu nemelo moc vadit, ze si to bude muset najit.

Navrhoval bych kombinaci. A tady si udělám malou reklamu :) - CZ.NIC spouští službu MojeID, což je takové OpenID postavené nad údaji, které projdou ověřením (budou k dispozici dvě úrovně - identifikovaný kontakt a validovaný kontakt).

Alfa verzi lze najít na adrese https://demo.mojeid.cz/

Takže bych si úplně dokázal představit, že pro identifikované kontakty (které byly ověřeny, že existujou), nebude nutná žádná "captcha" a pro náhodné kolemjdoucí tam bude stát pan Turing :).

[31] ano, to je dobrý nápad! další vhodné otázky by byly: "vypočítejte následující určitý integrál..", "kolik obyvatel měla Praha k 1.6.2008", "rozšifrujte následující šifru" :)

Kvalita komentářů by šla prudce nahoru!

[33] "kolik obyvatel měla Praha k 1.6.2008" je moc jednoduché... chtělo by to spíš otázku "kolik obyvatel bude mít Praha k 1.6.2012" :)

Na nefrekventovanych strankach pouzivam jako ochranu neviditelne pole (skryte pomoci CSS) ktere nesmi byt vyplneno. Boti ho ale vyplni. Alespon teoreticky. Prakticky to stejne prochazi... Takze toto samotne opatreni je asi nedostatecne.

mě by zajímalo, co všechno jste neúspěšně vyzkoušeli - případně s jakou (ne)účinností - nebylo by to na článek?

Wikipedie používá CAPTCHA test jen v případě rozpoznání nového URL.

Co takhle za každý potenciálně závadný prvek (URL, výrobek, hvězdička ve slově, ...) v příspěvku dát jeden primitivní (nejlépe slovní) test IQ? Uživatel, který by jen normálně diskutoval, by nebyl vůbec obtěžován.

Tyto testy by se vygenerovaly až po kliknutí na "Odeslat".

Počet testů by se dal také odvodit z výsledku bayesiánského filtru.

Návrh č.1 :)

A co takhle si trošku nejprve pohrát na místo čtení nečitelného.

Spustí se velmi jednoduchá dymamická hra ovládaná myší a nebo kurzorovými klávesami, něco ve stylu flash ... , plošinovka s pohybujícím se nepřítelem, skákačka, hlavolam s nutností inteligentního rozhodování při kterém náhodné klikání vede s vysokou pravděpodobností k neúspěchu, a třeba také s časovým omezením. V průběhu hry může hráč třeba proplouvat mezi různými slovy a na konci na místo dalšího levelu zde může být nějaký inteligentní dotaz, který třeba souvisí právě se slovy které hráč ve hře minul rozstřílel či přeskákal, či se situací kterou ve hře musel řešit :) ... PS: Není to příliš náročný a přeci jen velký úlet ?

Návrh č.2 :)

Systém bude obsahovat jakousi úvodní sadu několika otázek. Uživatel, který chce přidat komentář musí kromě odpovědi na některou z nich zároveň přidat dotaz pro dalšího pisatele a dvě či tři potenciální odpovědi. S označením jedné správné odpovědi. Toto se uloží do databáze. A náhodně se použijí pro dalšího pisatele. Ukládat se také mohou náhodně jen některé návrhy, aby jich tam nebylo moc a nebo třeba jen jeden návrh z jedné IP adresy, také by to mohl být jen jeden návrh za určitou časovou jednotku. Nesmyslné dotazy bude možno označovat a při dosažení určitého kvanta takových dotazů z dané IP komunikaci na určitou dobu blokovat. Trochu je to asi zamotané, ale asi tušíte co přibližně mám na mysli.

Eh, boti nemusi umet javascript na to, aby splnili toto:

Please type "d5a0d2":

Proste si nekdo napsal rucne parser na root.cz. Turing zni dobre, ale jestli to dotycneho bude bavit, tak si vytahne vsechny otazky v DB a pak si je za odpoledne najde a zase bude vesele spamovat.

Sledovat jak dlouho trvalo napsani prispevku je nesmysl, jenom se tim natrenuji boti, co si chvilku pockaji.

A co tahle jednoduchý bayesian místo složitého captcha testu, kterým mnohdy neprojde ani člověk.
Naučit ho, co je spam a co ham je otázka ohodnocení několika desítek (max. stovek) příspěvků a pak můžete složit ruce do klína a sledovat, jak spamy končí v koši :)

1. Ano ceske mesiace su pre slovakov proste konecna. Napriklad take září. Je to zári, zaří, zarí, zárí, zari? Preto neznasam odpovede kde je nutna diakritika.

Co sa tyka spamerov tak je viac menej zufale branit sa spamu. Riesenim je ist im naproti. Ak root.cz spamuju viagrou treba si neaku objednat na neexistujucu adresu a neexistujuceho cloveka. Tymto vyzyvam citatelov ktory pouzivaju unix-like systemy (nehrozi teda ze si zasvinia system) aby toto cinili. Dajme si zavazok: "Kazdy den jedna objednavka".

PS: Ja osobne zase odpovedam na spamy tych chudakov co chcu previest peniaze. Plytvam ich casom. Ak by nas bolo vela myslim ze by nestihali.

[38.] Nic moc.

Navrh c.1: Predstavte si telesne postizeneho, treba slepce nebo paralytika, ktery ovlada pocitac pusou. Nebo proste obycejneho nesiku. Oni jsou radi, ze jakz takz nejak mohou psat a vy po nich chcete, aby hrali Doom.

Navrh c. 2: Taky nic moc. Chci videt, co odpovite, az na vas vybafne otazka typu "Jake cislo bot nosi Franta Trdlo z Drzkova?" nebo "Kolik vlasu mel Leon Trotsky tyden pred svoji smrti?".

Jedine spravne reseni by bylo posilat vsechny prizpevky do Microsoftu k overeni. Koneckoncu, naprosta vetsina spamu pochazi z tech jejich vypotku, tak at si tam vybuduji multijazykove oddeleni na reseni problemu spamu.

[41.] Musel byste tu Viagru objednat take na neexistujici kreditni kartu, coz oni vcas zjisti, kdyz transakce neprojde. Pochybuji, ze by posilali Viagru na dobirku.

> PS: Ja osobne zase odpovedam na spamy tych chudakov co chcu previest peniaze. Plytvam ich casom. Ak by nas bolo vela myslim ze by nestihali.

Dobry napad! Na kazdy email co prejde cez spam filter odpoviem nahodnym textom

> Povinná registrace.. čtenáři začnou šíleně řvát

Ani nie - na inych forach sme si uz zvykli

U odpovedi na otazku by mela byt akceptovana odpoved bez diakritiky. Setkal jsem se na nekolika webech s tim, ze byla vyzadovana odpoved s diakritikou a to jeste ke vsemu ve zcela konkretnim kodovani. Diky tomu nebylo mozno prispet z ruznych mobilnich zarizeni, kde diakritika bud vubec neni nebo je v jinem kodovani. Ono ani z pc to mnohdy neslo, kdyz clovek nevedel, jake kodovani je vyzadovano.

[42.]

K návrhu č.1 ... dovedu si představit, že nevidomý člověk má problémy i s opisováním oněch nečitelností. Koneckonců "dobrovolná forma registrace a jiné podmínky přístupu pro handicapované" by myslím byly i pro ně akceptovatelné. A o Doomu nebyla řeč :)

[38.]
K návrhu č.1 : Možná by bylo lepší, kdyby komentář přidal někdo, kdo umí udělat nějakou jednoduchou třeba jen čárovou flash hru - grafiku. Jde prostě o to aby se znesnadnilo automatizované překonání takového úkolu. Systém by totiž musel pochopit logiku hry - úkolu a sám simulovat hráče aby uspěl přičemž by se musel od počátku chovat poměrně logicky, jinak by brzy ztratil příležitost hru zdárně dokončit. Příkladem takové "hry" by mohl být půlminutový pohyb symbolu autíčka po vymezené dráze ( nejde tedy o žádný Doom ) :)

#24 je dost dobry

[24] bod 3 – možná to funguje, ale dost tím trpí přístupnost – co když má někdo jen textový prohlížeč nebo vypnutý JS?

Kolik spamu přichází z českých IP adres? Pokud je ho minimum nebo dokonce nula, šlo by českým IP adresám CAPTCHu odpustit. Podobně by to šlo udělat s jazykem – je většina spamu anglicky? Naopak komentáře uživatelů jsou česky (případně slovensky).

Ještě mě napadá, jestli by se nedal použít Akismet? Ve WordPressu funguje docela slušně.

[16] Když píšu něco do diskuse z cizího počítače, kde nemam plugin pro kontrolu pravopisu, tak sáhnu třeba po Wordu, kde si text napíši a pak udělám copy/paste. Právě bys mne odstavil jako spamera.

Turinguv test je skvely napad, ale odpoved by mela byt jak s diakritikou, tak bez. A Slovaci si treba ceske mesice muzou prelozit, to neni tak tezke. Jsou prece na ceskem webu.

[24] bod 3 - ak dám vo formulári "Enter", tak to tiež ide cez implicitné submit tlačidlo. Uznávam, že v diskusiách sa používa textarea, ktorá enter interpretuje inak, takže to nie je až taký významný problém. Ale ak zabudnem vyplniť iné pole (meno, email, ...), tak sa do textarey už nevrátim a odošlem to enterom. Znamená to, že som spamer?
Ale inak celkom dobré nápady. :)

Jeden web co znám používá zajímavé řešení, pokuď je příspěvek nový je vyžadováno schválení, nicméně po schválení prvního příspěvku se do počítače uloží Cookie a další příspěvky lze psát bez schvalování. Na tomhle řešení se mi líbí jeho elegantnost.

[51] Přečti si můj příspěvek ještě jednou, na tohle jsem samozřejmě myslel.

A co modifikace Turingova testu za použití videa a nebo zvukové nahrávky. Co vidíš na stromě ? Co slyšíš ? Který tón je vyšší, první a nebo druhý ? :)...

Už to tu bolo spomenuté, ale skúsili ste http://akismet.com/ ?

[56.] Chtěl bych třeba vidět automat, který dokáže odpovědět na otázku typu : Kolik pěkných dívek do dvaceti je na videu ? :) ... a ve videoklipu by byly třeba tři dívky , dvě babičky , dva klokani a šest chlapů u piva :) plus tři tlusté šeredky kolem 40 :)

[46.] Take si vsimnete, ze na slusnych webech maji pro nevidome zvukovou captcha. I tak jim to ale, kvuli spamerum, musi dost komplikova zivot. Spamerum by mely byt vypichovny oci, aby si toho take uzili. Samozrejme az po te, co si odpracuji 20 let v kamenolomu nebo medenem dolu.

[58.] Vzhledem k tomu, ze nazory na to, ktera divka je pekna, se dost lisi napric populaci, byla by tak vyrazena znacna cast uzivatelu, pokud maji jiny vkus, nez autor otazky. Otazka musi mit jednoznacnou odpoved.

Nešlo by zapřemýšlet nad tím, jak to těm spammerům vracet? Proč se pořád jen marně bránit a nezkusit každý takový útok raději opětovat tvrdou a útočnou akcí na všech frontách? Nebylo by to lepší?

[49], [53] ... vim, ze to neni idealni co se pristupnosti tyce - on clovek muze pouzit textovy rezim, takze by na nej samozrejme vykoukly i policka, ktere nesmi vyplnovat. i tam uz by mohl vzniknout problem.

se `submit` je to pikantni, to uznavam. samozrejme odchyceni entru by slo opet udelat pres JS - aby neodeslal formular, nebo odeslal formular pomoci druheho tlacitka.

co tak ale ctu diskusi a vselijake napady s hrama, flashovejma / js vecma, na ktere bude clovek reagovat (a bude ho to zdrzovat) mi tyhle veci prijdou asi jako nejmene "invazivni"... uzivatel by pak mel moznosti: registrace a prihlaseni, zapnuti JS a CSS (neprohlizet web v lynxu :D)

... a co se tyce mereni casu - jiste, boti by se naucili chvilku cekat. jenze pak by se zdrzel cely proces spamovani (strojove prolejzani odkazu a odesilani formularu - bot by musel cekat. misto 1000 prospamovanych sidkusi by stihl prospamovat jen treba tretinu)

ja pouzivam napr policko emailcheck (realne ho netreba), ktore je cez css skryte a ked ho niekto vyplni (jedine bot to vidi v html) tak prispevok ignorujem

... tak si vzpominam, ze kdyz sem kdysi hral Tomb Rider, tak pokud sem si chtel nacheatovat naboje, musel sem s Larou udelat nejake otocky, skocit sem a tam, ...

... reseni diferencialni rovnice by asi take slo... mozna by stacila nejaka dopravni uloha s distribucni matici. pro humanitne zamerene by pak mohl dobre poslouzit nejaky preklad cinstiny nebo zafilozofovani si...

(a samozrejme cely tento post je jen takovym spamem, neberte to vazne)

[60] To je dost naivní představa vzhledem k tomu, že tenhle sektor většinou nepoužívá vlastní zdroje (ať už výpočetní nebo finanční).

Ja to na svem foru delam tak, ze registrovany uzivatel muze prispevek oznacit jako 'spam'. Tim se prispevek okamzite schova a nikdo ho nevidi, a admin ho musi manualne zkontrolovat (potvrdi ze je to spam nebo ho necha zobrazovat).

Prispevky oznacene jako spam ze analyzuji (rozeberou na slova) a do databaze se ukladaji ty slova, ktera byla ve spam prispevku.

Pri porizeni noveho prispevku se pak kontroluje, jaka je pravdepodobnost, ze je vkladany prispevek spam (viz bayes na vikipedii, je to celkem jednoducha matematika). Pokud je prispevek povazovan za spam z vic jak 80%, musi uzivatel vyresit turning test. Tzn. neotravuje to vsechny uzivatele, ale jen takove jejichz prispevky jsou pravdepodobne spam.

povinna registracia. aspon sa konecne zaregistrujem. a tym sa vytvori zaujimava moznost (teda mozno uz je, mozno ju treba doprogramovat - neviem nie som registrovany :-) ) nastavit si nezobrazovanie prispevkov od ludi, ktorych prispevky z nejakeho dovodu nechcem citat. a hned by som si zaklikol 11 aj 52 ;-)

>> Jsem zastáncem otevřené diskuse ...

zajimave, pod touto zpravickou - http://www.root.cz/zpravicky/instalace-gimp-2-6-9-do-ubuntu-10-04-lucid-lynx/ - redakce smazala zcela korektne napsany prispevek, kritizujici pouze obsah zpravicky. Pikantni je, ze doted ukazujete v nahledu 4 komentare - chtelo by se to taky nekdy podivat do zrcadla, pane sefredaktore :)

a klidne smazte i toto.

A co takhle naprogramovat nějaký zaměřovací kříž jehož poloha by byla náhodná ( +-50 mm ) vzhledem ke kurzoru a potvrzovat odeslání příspěvku tím že kliknu na nějakou bitmapu ( terč ) tímto sekundárním kurzorem. Taky hra, ale trochu snadnější a mám pocit , že by byla snadnější než rozluštit text.

S komentspamem bojuju průběžně od roku 2004, tak si dovolím drobné shrnutí a pár poznámek, co jsem v praxi zjistil...

Zaprvé: metody které počítají s JavaScriptem jsou na Rootu neprůchozí, protože je tu nadkritické množství uživatelů, co si Roota čtou na svém logaritmickém pravítku z roku 1956. Ti nemají JavaScript ani obrázky a písmo jen bílé na černém. Jsou schopni nadávat, proč tu jsou ankety udělané pomocí JS, ti by něco takového považovali div ne za zásah do svého lidského práva komentovat.

Zadruhé: Návrhy typu "black list" a "ověření pomocí analýzy slov" jsou poněkud romantické. Až vám za noc přijde 20.000 komentářů, kde budou odkazy jako "http://en5v8­wjvt.com/d45nhs4­87" a "http://z54gs­vt.bfsrv54t.net/", zabalené do náhodného odstavce z jiné stránky vašeho webu, tak hned ráno pochopíte, že tohle fungovat nebude.

Zatřetí: Poměrně účinné opatření je dnes OpenID nebo i jen prostá nutnost dvojího submitu. Zítra to asi už účinné nebude.

Začtvrté: Čím dál tím větší problém jsou ruční vkladači. Takový Pákistánec nebo Ind dostane prohlížeč s pluginem, co umí průběžně měnit proxy, k tomu seznam webů a seznam textů, a jeho úkolem je jet, vkládat a opisovat CAPTCHA a klikat na "nejsem robot" a psát číslici do "enter year", protože za deset komentářů dostane cent (střílím od boku). Jistě, je to dražší než botnet, ale je to zase "stará dobrá ruční práce".

Zapáté: Kontrolní otázky "kolik je X plus Y" nebo "jaký je operační kód instrukce DAA na procesoru MC68000?" (Odpověď: MC68k nemá instrukci DAA) jsou možná dobré jako "minimal IQ test", ale pokud by o to někdo moc stál, tak si ten slovník otázek a odpovědí udělá. (Hezky má Minimal IQ test vyřešený jistý blogger, který má pod formulářem tlačítko s nápisem "Tímto se to pošle? Ne!" a pod tím do věty zakomponovaný submit odkaz.)

Zašesté: Skrytá políčka pomocí CSS jsou falešný pocit bezpečí. To že zatím na českém webu není jejich překonávání víc zjevné není tím, že by to nešlo, ale proto, že český web je pro opravdu velké spammery stále ještě nezajímavý. Až bude zajímavý, udělají si spammeři pro každý zajímavý web vzorek toho, co se stane při opravdovém odeslání komentáře, a věřte že ani prohazování políček, rafinované přebarvování a přejmenovávání není pro vycvičený algoritmus překážkou.

A zasedmé z trošku jiného soudku: Může mi někdo vysvětlit, proč tlačítko "nahlásit jako spam", co funguje v diskusích, čtou lidé jako "Tenhle komentář je mi nesympatický a někdo by ho měl smazat"? (tolik k nápadu "spam mi označí lidé", který možná na relativně uzavřeném fóru funguje, ale tady ne.)

Abych byl trošku konstruktivní: Asi nejlepším řešením pro letošek a možná i příští rok by bylo nasadit OpenID, a to i interně (tedy ono "společné přihlašování na servery IInfa" by se chovalo jako OpenID provider a servery by požadovaly autentizaci buď uživatelským jménem z IInfa nebo obecným OpenID účtem). Neautorizovaní by pak byli pruzeni mezikrokem s CAPTCHA/IQ testem.

[68] Podobná CAPTCHA před časem (cca 2007) proběhla webem - pod komentářem byla fotka, kde byla náhodně vybraná oblast cca 30x30px nějak vizuálně odlišená (jiný jas, víc šumu apod), a člověk měl kliknout právě do té zvýrazněné oblasti. Moc hezké to bylo, ale rozlousknutí bylo snadné - stačilo sehnat od každé použité fotky tři vzorky, a měli jste rekonstruovanou zdrojovou fotku. Porovnat s tím, co poslal server jako challenge už pak byla hračka.

Hlavne nie povinnu registraciu - ak ste si dobre vsimli, tak spammeri spamuju najcastejsie ako registrovani, takze problem je treba vyriesit tak ci tak (a ked sa to implementuje pri registracii, preco nie aj pri komentari?).

Ja som uz niekde pisal, zopakujem sa.
Co u mna nefunguje:
-dynamicke nazvy poli nepomahaju, robot u mna vie precitat label a podla toho sa zariadit
-do prveho pola vie dat meno,
-ostatne polia skusa vyplnat nahodne
-pise aj relevantne otazky do diskusie po anglicky, cim skusa, ako prejst cez kontrolu
-dostane sa cez jednoduchy javascript, vacsinu casu nemeni predvyplnene polia, nie je to pravidlo
-vie uchovavat cookie a nacita si stranku ako bezny navstevnik

Co u mna funguje:
-ukladanie casu navstevy do cookie a prispevky napisane do 5 sekund od navstevy stranky su spam
-input s menom mail, ktory ma label "toto pole nevyplnujte", vsetko schovane prostrednictvom CSS

Funguje ciastocne (skusal som, treba poriadne nastavit / poriadne oboznamit navstevnikov, potom funguje; pri zlom nastaveni odfiltruje aj cast navstevnikov):
-vypocitanie jednoducheho prikladu zadaneho slovne (pat krat osem) - niektori navstevnici nevedia malu nasobilku alebo nevedia, preco by ich mal niekto testovat, tak to nevyplnaju
-bodovanie komentarov, nad urcity pocet bodov je urceny na moderovanie (plus body za nazvy liekov a slova s nimi spojene (enlargement), linky za domeny mimo cz/sk/com/eu/org; minus body za slovenske/ceske slova, ktore sa nevyskytuju v inych jazykoch)

[70] Bylo to myšleno jinak. Nevím jestli to jde zařídit, ale představa byla taková: dle aktuální polohy kurzoru v bitmapě je vykreslován v této zcela prázdné bitmapě zaměřovací kříž, jenž má jediněčný ofset x a y vůči kurzoru který zná server a ten kdo na to kouká. Úkolem je kliknout do příslušného místa v bitmapě tímto zaměřovacím křížem nikoli kurzorem. Serveru se předají příslušné souřadnice kurzoru a ten si spočte zda jste se strefil a požadavek akceptuje a nebo zahodí.

ASIRRA - ratanie maciek a psov

Vyzera to na prvy pohlad hlupo a pravdepodobne ma vsetci znicia pod ciernu zem, pretoze je to produkt Microsoft Research, ale som presvedceny, ze toto by robot neodhalil :)

http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Moj navrh: Registrovani uzivatelia by mohli prispievat bez obmedzenia. Registraciu urobit s potvrdenim az po uplynuti dlhsej doby, napr. 24 hodin. Pre ostatnych by zostala len CAPTCHA alebo nieco podobne. Mozno by bolo pre zahranicnych spamerov tazke odpovedat na otazky typu: Dopln pismeno: velk_ muzi; to sme m_; - gramaticke otazky ktore kazdy z nas hned odpovie. Alebo: "spocitaj samohlasky v prvom slove"; "Kolko je tuect bez piatich?" "poludnie deleno dvoma"

[69] OpenID zní dobře, ale jak bys řešil kontaktní formulář na firemním webu? Tam po nich OpenID chtít nemůžu a zároveň chci, aby to měli co nejsnazší a zároveň nechodil spam. Neřešitelná rovnice? Nebo někoho napadá jak na to?

[75] P.S. až se OpenID rozmůže a půjde s ním komentovat bez CAPTCHy, tak ho roboti budou mít (někteří asi mají už teď).

[74] Není zase tak tězké vysvětlit lexikálnímu analyzátoru, že tuect=12 a pri cílenem útoku klidne i počet samohlasek. Ty otázky by musely být dostatečně rozmanité a přitom i pochopitelné.

[58] a nedejboze, ze nekdo vyhodnoti jako nejhezci baby ty 2 klokany :-)
[73] hehe .. kreslene kocicky a pejsky mel kdysi rapidshare. Obcas to byla tragedie je rozeznat po te deformaci. Ale to byla defakto captcha.

[73] Chvíli jsem zkoušel klikat a už od jedné špatné odpovědi mi to říká, že jsem 'bot'. Navíc je to nějaké otravnější. Možná protože se musí používat myš.

Mimochodem ke CAPTCHE... taková zajímavost. Jednoduchým způsobem by se dala zlepšit úspěšnost řešení CAPTCHA obrázků lidským subjektem tím, že by se písmena v obrázku tvořila tak, aby teoreticky mohla být slovem. Tj. místo úplně náhodných znaků typu 'sXhJks8' používat něco jako 'mifanE8'. Souvisí to s tím, jak lidský mozek zpracovává psaný text.

Jo, keď mal Rapidshare tie mačky, tak z toho som bol celkom slušne bezradný aj ja. :-)

Taký nápad: čo takto kontrolnú otázku pod príspevkom typu "napíšete znovu (štvrté) slovo vášho príspevku", to by asi nepomohlo, však.

A keď sa teraz zamyslím a prídem na geniálny, robotom nezlomiteľný, javascript ani obrázky nevyžadujúci spôsob, čo mám robiť, ako si to mám zaregistrovať? ;-)

[79] Používání smysluplných slov nebo alespoň slabik zvýhodní člověka před robotem, protože v chápání textu má před strojem navrch. Takové slovo by mohlo zůstat čitelné i kdyby byly znaky slity, což je velký problém pro OCR.

[80] Napiš to sem do diskuse nebo to použij na vlastní doméně. Utajováním a patentováním na tom nezbohatneš.

Ja myslim, ze idealni je zpusob, ktery nevyzaduje interakci uzivatele. Vetsina lidi chce napsat prispevek a jit dal. Ne hrat hry, lustit necitelny text nebo odpovidat na otazky. Proto bych mozna zvolil kombinaci vice technik nevyzadujicich interakci uzivatele.

Pokud ma clovek opravdu zajem spamovat, cestu si najde => povinne registrace ;)

skoda, ze mi do wordpressu prochazi spam i skrz reCaptchu... doufal jsem, ze se postaraji o to, aby to bylo skutecne bezpecne, kdyz uz je to sluzba ktera se primarne zameruje (krome OCRkovani knih) na obranu proti spamu...

No, mě přídou rozumný ty otázky, ale je fakt, že tam je málo možností, chtělo by to něco, kde je počet možnejch odpovědí prakticky neomezenej a s čím by nebylo moc práce, například pátý slovo článku, kterej komentuješ, nebo třetí slovo druhý věty ve třetim odstavci. Další možnost je, že by člověk měl možnost jednou odpovědět na něco fakt složitýho a pak si to pamatovalo jeho ajpinu a už by to dělat nemusel.

[86] to zabil ;)
btw veci ako ze musis pockat 5 sec a falosne policka funguju leda tak na male weby. Zatial sa mi osvecilo velky pocet otazok (idealne generovany) a velky pocet jednoznacnych odpovedi. Vyroba slovnika ma byt zdlhava, ze sa neoplati.

[84] To je asi nej řešení.. Možná v kombinaci s OpenID.. Povinná registrace má jeden klad.. Spamera jde zabanovat, resp. mu odepřít možnost přispívat.. V nejlepšíp případě to udělat tak, že si spambot bude myslet že vše je OK, ale jeho post půjde do /dev/null. Tzn. žádné skrývání imputboxů atd.. Protože IMHO je hloupost prozrazovat spambotovi že o něj víme. pokud to autor zjistí, modifikuje bota.

Jeste je tu moznost registrace s tim, ze ta bude provadena (potvrzovana) pres nejaky kanal, ktery spammeri nepouzivaji (SMS, normalni posta).

[89] No a to přesně bude dělat OpenID implementace MojeID :) (https://demo.mojeid.cz/)

Petře, stal jsem se tím už taky spammer? ;-)))

Tady se nekdo pekne nastval. ;-) Uprimne receno, Turinguv test se na forech mozna osvedcil, ale odpovidat pokazde na dve otazky mi prijde jako nebetycna pruda. Na druhou stranu prihlasovani ma zase jinou nevyhodu, resp. mivalo. Prispevek, ktery jsem napsal pod registrovanym uzivatelem, byl automaticky zasedly, protoze jsem mel nizkou karmu kvuli male aktivite.

Byl bych pro Turinguv test, pokud by sel zkombinovat s "docasnou amnestii" pro danou IP adresu nebo cookie. Zkratka mi prijde zbytecne cloveka porad dokola overovat, ikdyz je to technicky snazsi, nez si vest tabulku proverenych IP adres / browseru. Pokud zavedete povinnou registraci, hrozi odliv komentatoru a mozna i ctenaru. Prilis otravny Turinguv test IMO hrozi tim samym.

[88] Pokud pro kazdeho spambota nepovedes vlastni verzi databaze, kde "uvidi" svoje prispevky, stejne to nezamaskujes.

a co treba misto tlacitka odeslat, jich tam dat pet, kazde jinak barevne nebo s jinym obrazkem a odesilalo by jen jedno, napr. odeslete cervenym tlacitkem nebo odeslete cervenym tlacitkem s velrybou...

nebylo by lepší spíš kolikáty měsíc je ten kdy jsou vánoce a něco podobného ?

- kontrola dĺžky času písania
- kontrola vyplnenia náhodne nazvaného skrytého pola
- blacklist použitých slov
- oplatí sa aj kontrola použitia azbuky

možno by bolo fajn viesť verejný blacklist IP adries botov - použiteľný pre viac servrov

Videl som na viacerych strankach jednoduchu vec co vacsinou funguje: jednoduchy aritmeticky vyraz, nieco ako 2 * 4 - 1.
Treba samozrejme vzdy vygenerovat novy do retazca, evalnut na zistenie spravnej odpovede a potom napr. cez GD kniznicu vyrenderovat do obrazku (pripadne zobrazit priamo).

Povinná registrace na prvním místě.
[91] Možná ubude diskutujících, ale ne nutně čtenářů. Povinná registrace, dle mého názoru, automaticky přinese kvalitnější diskusi, která spíše přitáhne čtenáře. Rozhodně asi více, než poznámky kohokoliv, kdo jde zrovna kolem.

Pokud někdo chce přispívat jako neregistrovaný a má něco skutečně důležitého, ať se smíří s tím, že bude důkladně prolustrován ...

Nemyslím, že pokud budou pravidla jasná a srozumitelná, tak to vyvolá nějaký větší odpor.

Potrebujeme skrátka nariadiť centrálnou vesmírnou autoritou nejaké podpisy, a nikto už na internete nebude anonymný. Mne by to nevadilo. :-)

To 98: Ale to nezabrani zneuzivani cizich pocitacu.

Ked ste tu spominali spam filter, tak som si spomenul ze som o nejakom filtri cital (ne)davno na roote. Trochu som pogooglil a nasiel som ho.
http://www.root.cz/clanky/konecne-reseni-v-boji-proti-spamu-v-diskusnich-forech/
Tento "inteligencny test" by snad spam odradil...

Ale ať jsou ty otázky (české věty) co k čemu:

"Život, vesmír a vůbec." "Doplň číslo: 1 - 5 7". "Kolik je 3!", ...

V podstatě je mi osobně jedno, jestli si zrovna tento web bude vynucovat nějakou formu registrace či ID. Podstata problému má hlubší řekl bych filozofický základ. Linux , a tom to na tomto webu je, je platforma preferující svobodu, svobodu volby, svobodu konfigurace, svobodu ve způsobu přístupu. A nyní se zde ocitáme na rozcestí. Problém není v tom, že někdo někde za pár centů spamuje. Tento problém nelze překonat. Problém je v tom, že inteligentně naprogramované stroje nabourávají a řekl bych ne neúmyslně onu svobodu. A zpátky k onomu rozcestí. Člověk má na výběr. Na jedné straně bojovat se spamem tím, že bude stroji klást takové úkoly, které pro něj budou obtížné a pro člověka budou vždy znamenat určitý diskomfort nicméně zůstane zachována jeho svoboda. A druhá cesta pak je obětovat vlastní svobodu, ztotožnit svou osobu s jakýmsi databázovým záznamem, umožnit pohodlnělší sledování své činnosti, podpořit globální snahy o identifikaci každého jednotlivce na internetu. Otázkou alespoň pro mne pak bude zda toto vítězství nebude přece jen "Pyrhovo vítězství". Domnívám se, že i tento, možná pro někoho bezvýznamný pohled jednoho z náhodných čtenářů, by měl být tvůrci tohoto webu zvážen.

OpenID s tím, že každá identita bude mít tři stavy:
-OK
-spammer
-neověřeno

Komentář vložený identitou OK bude vidět ihned, ale moderátor (na značení od uživatele) ho mohou označit za spam i s celou identitou.

Komentář od spammera půjde rovnou do koše.

Komentář od neověřeno se nezobrazí, dokud ho nějaký moderátor nepřepne na OK.

V takovém systému bude mít nutnou práci moderátor: schvalovat komentáře od neověřených identit a nahlášené komentáře.
Ale spam neprojde v podstatě žádný.

Já bych udělal autentizaci jako odpověď na kvízovou otázku, zabije to spamery a zvedne to úroveň komentářů :-D

A preco by sme mali vymyslat nieco ako zamedzit spamu? Co keby sme spamerom dali to co ziadaju? Hadzu do diskusii linky tak asi chcu aby na ne ludia klikali. Pouzivaju na to pocitace a rozne boty tak ved aj my mame pocitace a niekto by mohol aj bota napisat a ten by stale dookola nacitaval tie ich stranky. Viac ludi viac pristupov na ich stranky a mozno by sa uz potom necitili tak osameli ze musia vsade prosit o klik.

Já jsem to celé nečetl, ale týká se to jen blogů? A nemáte náhodou furt aktivní ty pingbacky a trackbacky? Ty jsou pro ně jak dělané a blbě se blokují.

Jinak se přikláním k variantě "logický test" typu čtvrtý měsíc nebo vypočítejte 75-6.

[106] Týká se to primárně webu, ne blogů. Ale i sem občas něco projde.

[97] S tím automatickým zkvalitněním diskusí bych si nebyl jistý. Vím o několika stránkách, které zavedly povinnou registraci a žádné zázračné zkvalitnění nepřišlo. Třeba na Týdnu se teď počet diskusních příspěvků pod články pohybuje v průměru někde mezi 0 a 1. Na Lidovkách je polovina příspěvků věnována vzájemným urážkám, což je horší, než před zavedením registrací. Na Novinky píšou vesměs dementi, stejně jako před zavedením registrací. Akorát eliminovali "rasisty" a největší prudiče, takže diskuse jsou sterilnější, ikdyž, pravda, více k věci, asi tak odhadem o 5%. Kvalita ale pořád bídná.

Root si podle mě i bez registrací drží laťku poměrně vysoko, díky svému užšímu zaměření. Povinná registrace asi eliminuje některé občasné prudiče, nicméně odradí i diskutéry typu "potulný guru", kterým nebude stát za to se zaregistrovat. Jestli to odradí i od čtení, je otázka, ale určitě to zúží spektrum kvalitních reakcí. A třeba u zpráviček mi přijdou ty reakce většinou hodnotnější, než zprávička sama. Tedy musím říci, že to alespoň pro mě bude představovat částečnou demotivaci vůbec na Root chodit. Já bez Roota žít můžu a on beze mě taky, ale otázka je, kolik nás takových bude.

[104.] Zabiti spameru je jiste dobry napad, ale uvazoval jste nekdy o tom, ze by bylo vyhodnejsi je prodat na organy na transplantaci a z vynosu finacovat dalsi lov? Za chvili by jich zbylo uz jen par v horach v Cine a to by se uz dalo snest.

Co přidat ještě falešnou Captchu, kterou budou boti zuřivě ocrkovat a při vyplnění se přízpěvěk neodešle? :-D

[109] Mno jen jestli by ty jejich organy za to vubec staly :-D Tak mne napada, ze jedinej, kdo umi se spamem zatocit je zase jen a jen Chuck Noris.

Co toto: zobrazit několik ikon s piktogramy (kočka, pes, myš, žena, muž, letadlo, vlak...) a kliknutím na správný piktogram se odešle příspěvek. Tedy něco jako tři submit tlačítka.
Při kliknutí na odkaz pro přidání kometáře se vygeneruje nějaké id( v session) a k němu se na serveru přiřadí správná odpověď. V DB může být více piktogramů pro správnou odpověď.
Uživateli se předhodí výzva odešli kliknutím na myšku ;-) Jak už někdo zmínil, klidně ještě může být na stránce skryté tlačítko typu submit nebo falšná captcha apod.

A což takhle modifikovat klasickou CAPTCHU takto:
- opište jen písmenka která nepadají doleva
- opište jen velká písmenka nikoliv číslice
- opište jen červená a modrá písmenka
- opište jen malá písmenka
- opište vše kromě prvního a posledního znaku
- opište druhý, pátý a poslední znak

- za každý znak přidejte - vložte navíc znak jenž následuje v české abecedě :)

- za každý znak jenž je na obrázku vložte postupně znaky z tohoto slova ...

- mezi znaky na obrázku vepište navíc znaky libovolného běžného českého jména
- mezi znaky na obrázku doplňte postupně znaky tohoto slova, můžete vložit i více za sebou následujících písmen z tohoto slova najednou.

- opište znaky na obrázku ale číslicím připočtěte 3

objednavkove weby zasielane v spame su tiez v cloude botnetov, alebo su to relativne jednotlive ip?

- a zadání tohoto úkolu bych realizoval zvukovou nahrávkou v češtině, čímž bychom eliminovali ty Indy co podle jednoho z příspěvků provozují spam za centy :)

- taky by se mohla použít klasická šifra, každý by si koupil "Příručku k Ubuntu"
a na výzvu zadejte 3 slovo na stránce 36, a řádku 15 ...

- případně vylepšená šifra : zadejte synonymum k 3. slovu na stránce 36, a řádku 15 ... To nedají ani ti Indové :)

- a nebo zadejte 6 pád k 3. slovu na stránce 36, a řádku 15 ... to už by nedal leckterý místní :)

[120] A zbyli by tu akorat BFU ubuntaci - ti ostatni nemaji prirucku. Kdyztak, tak by se muselo jednat o neco v PDF, nejak nenapadne distribuovaneho mezi prizpevovatele. Otazka je jak, aby se k tomu nedostali spameri. Osobni navsteva redakce je pro vetsinu uzivatelu neprakticka. Osobni navsteva pana Krcmare u uzivatelu rovnez.

A co přidat dvě tlačítka se zadáním typu: klikněte dvakrát na tlačítko A a pak čikrát na tlačítko B. Třeba by to eliminovalo náhodné klikání :) Nevím ...

no a co třeba zobrazit několik řetězců a meni ně přimíchat jedno "normální" slovo? Např. arrtřžfg, storietř, babička, řžoghipg. Úkol by zněl, veberte slovo které dává smysl (v češtině, ve slovenštnině...).

Zadání a klíč k provedení musí být obecně snadno dostupné i pro spamery, jsou to totiž i když s tímhle asi někteří zcela nesouhlasí, taky zřejmě lidé. No nicméně zjištění zadání a řešení úkolu by mělo být obtížně algoritmizovatelné, tedy alespoň se domnívám. A chce-li někdo eliminovat nečesky myslící a mluvící pak by toto zadání mělo být ryze česky slengové, obtížně cizinci či automatickými systémy přeložitelné a pochopitelné. Třeba: Kolik škopků je basa piv ? :) Převeďte na litry jedno štěně :)

A nebo vypsat několik dvojic či trojic slov normálních českých slov ale pouze jedno spojení bude nesmyslné a to je třeba označit napříkla fialový pes, dřevěný sníh, jahodový dům, ... česká byrokratická strana, prasátko s rohama, mluvící leklá rybička, ...:)

Případně těch nesmyslných spojení může být více, ať to mají počítače krapet těžší :)

[88] co tak odeslany spam zobrazit, ale jen tomu, kdo ho pred chvili odeslal. pokud tedy bot nebo dobre placeny indian kontroluje, zda jeho prispevek prosel, tak bude spokojen a:
- zada stejnym zpusobem spoustu dalsich prispevku, cimz stravi spoustu casu a nebude otravovat jinde
- nebude zkoumat proc mu to nefunguje, tedy zpomali se vyvoj botu a jejich postupu

Toto samozrejme v kombinaci napr. s tou fotkou lidskych postav a zvirat, aspon se clovek bude mit na co koukat :)

Asi povinná registrace, to je klasika, co funguje. Nebo bude muset každý před odeláním příspěvku udělat e-psychotest a projdou jen ti s poruchou osobnosti :-)

a co botovi ci nejakemu indovi brani sa zaregistrovat? aky je technicky rozdiel medzi registraciou a postnutim prispevku?

Vsechny mechanismy zalozene na obrazcich a klikani na ne nebo do nich jsou velka prekazka pro nevidome a spol.

Reseni jsou tu jiz popsana mnoha, faktem zustava ze reseni by melo pokud mozno ne jen branit spamu ale i neco stat spamera. Znamy je treba hashcash. Coz ma samozjreme taky sve vyhody a nevyhody. Namitka, ze spameri na to nepouzivaji svuj vypocetni cas neni relevantni - relevantni je to, kolik dokazi vygenerovat spamu za casovou jednotku.

ak uz bude nasadena kontrola, ci na druhej strane je cesky hovoriaci clovek, poradie technik nasadenych na tuto kontrolu je nasledovny:
1. text
2. obrazok
3. javascript
4. flash

ak by sme chceli zahrnut uplne vsetkych pouzivatelov, pouzitou technikou bude nieco v style turingovho testu, teda slovne zadanie a na nu slovna odpoved. ak sa pouzije obrazok, uz vyradime zopar percent pouzivatelov, ktori nepouzivaju graficky browser. ked uz niekto graficky browser pouziva, moze mat vypnuty javascript. dalsi sa zase javascriptu neobavaju ale flashu ano.

myslim si, ze flash ani javascript neprichadza do uvahy. idealne by bolo nechat moznost prispievania bez registracie/kon­troly a nasadit/zlepsit algoritmy odhalovania spamu na strane servera po prijati prispevku (co si samozrejme uvedomujem, ze je podstatne tazsie).

co sa tyka obmedzenia slovakov ceskymi testami, tak na to sa moze rovno zabudnut. je to cesky web a slovaci, ktori tu chodia cestinu ovladaju. vo vseobecnosti slovaci ziju ceskym jazykom/kulturou dost vyrazne - v tv idu cesky dabovane filmy, citame cesku literaturu, browsujeme ceske weby a pod. viem, ze naopak je to problem a dokonca cesi slovensku literaturu prekladaju. par odlisnosti, ktore sice mnohi nevedia naspamat v style pomenovania mesiacov, parny/nepary - sudy/lichy si kazdy bez problemov dohlada (mozno mnohym uz len toto chyba, aby vedeli po cesky dokonale).

Možná už to v diskuzi zaznělo (něčetl jsem úplně všechno), ale kdesi jsem četl návod na jednoduchý Turingův test. Vypíše se libovolný různobarevný text a návštěvník má za úkol opsat část textu. Např. Opiš první 2 zelená písmena. Text se generuje náhodně a nápověda co opsat je pokaždné jiná, někdy opsat písmena, jindy čísla, odpředu odzadu atd. fantazii se meze nekladou.
Pravda pro barvoslepé nic moc :-)

!!! NAPAD !!!

SITUACIA: som neregistrovany navstevnik.
pre pridanie 1. komentaru - pouzit ochranu napr. odpoved na cesku otazku
v pripade spravnej odpovede a odoslania commentu SA VYGENERUJE TOKEN A ULOZI DO COOKIES, az kym cookie nevyprsi, komentare 2, 3, 5 sa budu dat odoslat bez otazky

Ad turing v cestine: mate pripraveny miliony moznych variaci na tutez otazku, aby si spammeri proste nevytvorili slovnik otazek a prislusnych odpovedi?

Ať jsou návrhy na zablokování jakékoliv, prakticky dojde vždycky k nedokonalému návrhu, který bude za pár týdnů/měsíců zlomen, nebo systém, který je nepouživatelný.

Spíše než se snažit zablokovat spammery, je lepší software, který je nadetekuje a roztřídí do kategorií. Podle závažnosti kategorie se budou komentáře mazat. Ty, které budou považovány za sporně vyhodnocené (vyhodnocení by mělo probíhat tak, aby jich nebylo mnoho) vyhodnotí nějaký člověk a buď je smaže, nebo odešle email přispěvateli, aby potvrdil příspěvek (velmi výjimečný případ). Pokud nepotvrdí,komentář se smaže...

Velmi nevýhodná je nutnost nějaké vyhodnocovací komponenty, která bude určitě náročná na výkon.

OpenID, OpenID, OpenID, OpenID, OpenID, OpenID

Ještě jeden nápad. 50 tlačítek "Odeslat" a to správné zobrazit pomocí dynamického CSSka. Zatím jsem si nevšiml, že by roboti analizovali CSSko. Další možnost je ty tlačítka zobrazovat malá, jedno velké, nebo na nich zobrazovat nějaký jiný obrázek, atd.

Což použít uživatelské hodnocení příspěvků jako na stackoverflow.com?
Použít se dá i filtrování podle obsahu (čímž by asi neprošel ani příspěvek 136), myslím, že by se dal napsat skript, který by dost přesně detekoval, že někdo používá leet speak.
Třetí řešení je koupit si cvičenou opici, která bude databázi 2x za hodinu filtrovat.

Co tanhle krásnou databázi cca 5000 řešených příkladů z fyziky, neměl byste zájem? :-)))

A co kdyby, příspěvěk 140 ( zatím nezveřejněný ) byl onou CAPTCHOU a musel být potvrzen příspěvatelem 141 jako platný a nebo zamítnit jako spam. Jinými slovy každý následující pisatel by zároveň kontroloval, že předcházející příspěvek není spam. To by nemuselo trvat moc dlouho, koneckonců většina čtenářů čte poslední příspěvky stejně.Teď ještě jak zařídit aby si pamer neschvaloval své příspěvky sám sobě :) ... tudy cesta tedy asi nevede, že :)

Příspěvek 102 moc pěkně literárně stvárnil přesně to, co mě napadlo jako první. Díky za něj.

Osobně si myslím, že tu zazněla řada návrhů, které by pro dokonalou ochranu bylo vhodné zkombinovat.

Po vyškrtání těch, které omezují nějakou skupinu uživatelů (tlačítka přesouvaná pomocí css a skrytá pole - chudáci nevidomí) a těch, které uživatele nadměrně buzerují (ve dvou pokusech ze tří jsem ty prokletý kočky nedala) zbydou ty použitelné a ty zřetězit.

Něco jako:
- Příspěvek byl napsán pomalu, asi ho nepsal bot, odeslat.
- Příspěvek byl napsán podezřele rychle, budeme muset autora, co to zkopíroval z wordu obtěžovat se čtvrtým měsícem v roce (né žádné složitosti, nebo dospěje k názoru, že to vlastně tak moc poslat nechce).
- Oba předchozí příspěvky zkontroluju proti databázi spamů a případně nezveřejním.
- Do diskuze přidám možnosti "Nevhodný příspěvek" a "Označit jako spam" a budu doufat, že toho nebude adminovi nahlášeno moc.

A určitě by se dal řetěz rozšířit podle implementačního času a dostupných prostředků ;-).

Nase jedina vyhoda je ze mluvime cesky (bratri slovaci odpusti), takze jsme maly trh a indove ani boti se kvuli nam cesky ucit nebudou.

Udelal bych mimo jine dve veci

1) stranku pro vlozeni komentare bych pokazde generoval nahodne (ale tak aby opticky byla stale vicemene stejna)

2) komentare bych nezobrazoval ihned, ale se zpozdenim, treba pul hodiny.

3) prispevky ktere se tvari podezrele (obsahuje odkaz mimo root + dalsi polovene servery, obsahuje divna slova atd, exoticke IP) overit kontrolni otazkou

Toto bude vecny boj. Aj ked masivne spamuju boti, za tym je vzdy nejaky clovek. Ak ma ten clovek dostatocnu motivaciu, nakoniec zisti recept na to, ako prekonat momentalnu ochranu. Napriklad ako bolo spomenute, js a captcha kedysi fungovali, ale teraz uz nezaberaju. Cesko-slovenska jazykova bariera zatial tusim funguje, ale casom fungovat tiez prestane. Povinna registracia? Tak nebude za den 20 000 spamovych diskusnych prispevkov, ale 20 000 ziadosti o registraciu - a nech admin hlada, ci medzi nimi nie je nejaky normalny clovek, ktory sa naozaj chce len registrovat. Okrem toho si myslim, ze odhalit spam v odoslanom prispevku je jednoduchsie, ako odhalit spambota pri registracii...
Kym root.cz sa primarne zaobera publikovanim clankov, spameri sa primarne zaoberaju prekonavanim antispamovych ochran. Pretoze sa tym zivia. A nemaju nic ine na robote.
Jedno riesenie vidim v tom, byt vzdy o krok pred spamermi. Teda nie vymysliet a implementovat nejaku perfektnu ochranu proti momentalnym botom a potom "si vylozit nohy" a tesit sa z toho, ako som s nimi vypiekol... lebo po case to prelomia a potom treba vsetko nechat tak a zrazu ist riesit spamerov. Ochranu treba obmenovat priebezne, podla moznosti este predtym, ako ju prelomia... Mozno nemusi byt velmi perfektna, hlavne aby bola ina ako pouziva ostatny internetovy svet, lebo cim je typ ochrany rozsirenejsi, tym je vacsia motivacia na najdenie jej obidenia.
Dalsia vec je, preco vlastne existuje spam? Lebo moze. Vlady sa nahanaju za fiktivnymi teroristami, ale ze spameri vlastne terorizuju cely internet a sposobuju tym velke skody, to ich netrapi. Mali by ich lovit. Spamera by som mal nahlasit nie administratorovi webu, ale nejakemu uradu a ten by sa tym mal zaoberat a ist po nom. A mala by fungovat medzinarodna spolupraca, mala by byt moznost spamerov vystopovat, zmrazit im ucty, zavriet ich do basy. Zadavatelov takisto a este viac. Ano, ja viem ze dnes to znie totalne utopisticky a nase male krajiny s tym same nic nenarobia. Dnes na to nie je vola. Ale aj ked to je beh na dlhu trat, je to dalsie navrhovane riesenie.
Este jedna vec sa da porovnat s bojom so spamermi - boj s "piratmi". Kym to bolo len na urovni technickych prostriedkov, pirati vitazili. Ochrany proti kopirovaniu hier a DVDciek velmi nezaberali. Odkedy sa ale zapojila brutalna legislativa, pirati to maju omnoho tazsie - a uz to nie je velmi o ekonomike, skor o filozofii (kvoli kontroverznosti autorskych prav).

Ještě jedna možnost myslím nebyla zmíněna. Jistě si pamatujete jak v některých hrách musíte na jednom místě něco nastavit, aby jste si na jiném vzdáleném místě otevřeli tajné dveře ... Implementací obdobné alternativy, kdy na jedné stránce třeba ze tří možných nastavíte nějaký příznak a tím teprve na jiné stránce umožníte zobrazit nějaký test jako je CAPTCHA a nebo povolíte odeslání příspěvku. Automatický spamovací systém by totiž musel samostatně a smysluplně přepínat mezi stránkami,vyhod­nocovat situaci, volit několik alternativ... stránečky by navíc mohly mírně alternovat svou kompozici a tím opět poněkud komplikovat orientaci. Nevím, bylo by něco takového příliš obtížné a komplikované ? Bylo by to účinné ?

Napadlo mne, trochu vylepšit předchozí návrh 144. Zadání by mohlo znít následovně : Klikněte na symbol "Jablíčka" na stránkach zdroják.cz ... a tam pod některým článečkem jenž je třeba na titulní stránce by byl onen symbol.Pisatel by musel tedy přejít na jiný sever a tam vyhledat skrytý symbol - to by mimo jiné zlepšilo návštěvnost :) spolupracujícího serveru ... Symbol by byl na jiné IP než původní root.cz což by bylo pěkně matoucí pro automatizovaný systém, a zobrazoval by se dynamicky pouze tomu uživateli který ho hledá a když by systém věděl, že se jedná o spam tak by po vyhledání onoho "jablíčka" mohl dostat úkol vyhledat zase někde jinde "hruštičku" a tak pořád dokola případně by se mu mohla podstrčit falešná stránečka s odesíláním příspěvku a nebo by se mohl navést na nějaké stránečky s tlačítky a políčky a CAPTCHOU ... kde by se automat vyřádil a tím by sám sebe identifikoval, pisatel totiž nemá důvod vyplňovat kde jaké políčko ...ke kde jakému článku, "kdo si hraje nezlobí"... spamer by ztratil kontrolu nad efektivností své činnosti ...

Rozvinu svou myšlenku dále. Obecně vzato síla internetu je právě v roztříštěnosti. žádný současný systém nemůže napadat všechny servery a všechny stránky najednou, to zřejmě bude slabina jakéhokoliv spamovacího algoritmu. Tyto algoritmy, ačḱoliv jsem doposud žádný neanalyzoval budou zaměřeny buď na jedinou IP adresu a nebo na vybranou, nějak obsahově či tématicky související skupinu adres. Například několik serverů stejného majitele. To, že obecně na stránkách existují linky na jiné servery je běžná záležitost, takže to není příliš velké vodítko pro žádný auto analytický podsystém spamovacího software. Pokud dojde k rozdělení místa kde se dovím podmínky, které musím splnit pro zadání příspěvku s místem, kde tuto podmínku splním a místem kde bude uplatněna bude muset analytický systém řešit souvislosti mezi stránkami na různých serverech,což znásobí počet možností a což nemůže dělat zcela bezmyšlenkovitě metodou pokus a omyl byť extrémně rychle, neboť by to jeho pozornost přenášela na stále jinou IP adresu a jiné stránky. Řekl bych, že použití nějakého typu vlastního proxy serveru ( o tom nic netuším tak použiju česky něco jako "dynamické přeadresovávání těchto serverů" ) by mohlo být účinným obranným mechanizmem - zabránilo by totiž druhé straně získat jistotu, že je na správném serveru a na správné stránce, musel by stále analyzovat obsah stránek a pouze s určitou pravděpodobností odhadovat řešení. Nějaké takové řešení by pak umožňovalo vytvářet pro spamery pasti v podově slepých bezcenných stránek, falešných odkazů, submitů, různých testů atd, a na těchto falešných cestách by mohly být ony automatické systémy identifikovány a voděny za nos, což je asi nejúčinnější způsob obrany. Je třeba vyplýtvat jejich jedinou zbraň a tou je strojový čas, který bude beze sporu věnován prioritně důležitějším cílům možná skutečně armádním či vládním. Ostatně kdo ví, zda nejte vystaveni cvičnému útoku nějaké elitní kyber jednotky :)

podla mna by stacila nejaka nestandardna captcha, ktora by sa vyhla lusteniu tazko citatelnych napisov. napr. v labe na troji sme kedysi zacali pouzivat pocitanie prstov:
http://labts.troja.mff.cuni.cz/prani-a-stiznosti.html
jednoduche, ale funguje to. neviem ako to spameri robia, ale nemyslim, ze skumaju kazdy web osobitne. ak ano, tak si myslim, ze aj tak by sa dalo generovat nieco, na co nezaberie OCR...

[143] Neni tomu tak dlouho, co americky "kral spameru" dostal peknou palku

[41] Vzhledem k tomu, ze ty s vine s klidem pouzivaji cizi adresy, je to "trosku" kontraproduktivni. Kdo uz se setkal s tim, ze se mu do schranky navalily tuny rozhorcenych mailu ...

Zdar,
napadlo ma, ze pokial je cielom zabranit spamerovi, aby si vytvoril slovnik pre ceske/slovenske/slan­gove otazky a odpovede, tak najjednoduhsie mi pride: nevytvorit staticku databazu otazok. Teda okrem povinnej protispamovej odpovede by mohol autor prispevku (idealne iba registrovany) dobrovolne napisat dvojicu - otazka a odpoved. Pravda, toto by musel schvalovat pred zaradenim do db pouzivanych otazok niekto manualne. Ale zasa po niekolkych uspesnych pouzitiach by bola otazka z db odmazana, alebo zneplatnena na nejaku dlhu dobu (mesiac?).

No a potom mi pride vyrazne narocne (pre spammera) - nahodne obmienanie sposobu protispamovej ochrany. Raz jedna otazka, potom dve, potom ziadna, potom pripadne js/css aj otazka.

A blahozelam - dobra diskusia, plna elegantnych napadov. Podla mna to sice spam nezastavi. Ani legislativa to nezastavi. Ale vdaka spammerom mozno budeme mat aspon lepsie ocr a samozrejme dlhsi penis :)

#147 To počítání prstů se mi líbí, ale šlo by vylepšit tím, že by název zaslaného obrázku byl stále stejný - Nemyslím si, že přečíst počet prstů přímo z názvu souboru by byl v případě cíleného útoku takový problém.

Někdo tady již psal o náhodně generovaném terčíku. Velice jednoduchým řešením by byl náhodně generovaný obrázek skládající se například z barevných čtverečků, kde by uživatel musel trefit danou barvu (různých barev by kvůli lidem, kteří mají problémy s rozpoznáním barev muselo být asi málo a dostatečně rozlišitelných). Jako odesílací tlačítko by se použil (který odesílá souřadnice na obrázku, kde bylo kliknuto) právě s tímto obrázkem. A na straně serveru by se vyhodnotilo místo, kam uživatel kliknul.

* by se použil input type = " image "

[147][150] CAPTCHA sa da riesit neuronovou sietou v JS, o co lepsie je pouzit pocitanie prstov??

Zdravim
co použít proti nim jejich vlastní inteligenci? Např. zobrazit obrázek, pole pojmenované tak, aby spambot aktivoval svoje OCR a popis "nic nevyplňujte" ;)
dál mně napadá, což nevím jestli není už opruz pro uživatele - odesláním formuláře (se skrytým polem ID) se zobrazí stránka, jež bude znít "Nyní vyvolejte refresh stránky", příspěvek by se vložil až po druhém zavolání skriptu (znovu odeslat POST), přičemž ono skryté ID musí být stejné i napodruhé.

Jsem velmi potěšen konstruktivním duchem této diskuze - je vidět, že téma boje proti SPAMu a obecně za naší svobodu nás spojuje :) jen tak dál

Díky!

Co tak odlahcit nase servery a vyuzivat na generovanie vereje pristupne zdroje ako Google? Administrator nadefinuje a nasledne spravuje (aktualizuje) databazu slov jednoznacnych objektov, ktore server vyhlada ako obrazky v google a odkazy na prvych 5 zobrazi uzivatelovi (ano, vyzaduje to nejaky cas na parsovanie ale predpokladam ze REGEXP to zvladne hravo). Uzivatel musi napisat slovom co vidi. Server vie odpoved, uzivatel vidi len obrazky objektu. Priklad: http://www.google.com/images?hl=en&tbs=isch:1,isz:i&q=pineapple&aq=f Odpoved je: ananas (vyhladany samozrejme v anglictine, kvoli mnozstvu relevantnych odpovedi) Krasne sa tak vyplytva procesorovy cas spamerov na OCR. Obrazky sa budu menit, vzhladom na algoritmus vyhladavania google.

Jak uz psali nekteri diskuteri vyse, je dobre dat uzivateli vybrat:
- jsi staly uzivatel, pak mas overeny login a po prihlaseni muzes prispivat, jak je libo
- jsi nahodny kolemjdouci (jako treba ja), tak musis podstoupit nejaky test, ze jsi duveryhodny (captcha nebo jinou pakarnu)

[127] pak je tu bohužel problém s tím, že i lidé chybují – takže třeba udělají překlep nebo nepochopí zadání, odešlou příspěvek a mají za to, že je vše v pořádku. Druhý den přijdou do diskuse a zjistí, že příspěvek „chybí“ – začnou nadávat a cítit se ukřivděně, že je někdo cenzuruje. Když udělá člověk chybu, musí ho o tom web informovat – vím, že to nahrává botům, ale s tím se nedá nic dělat.

Asi nejúčinnější mi přijde, aby test vyžadoval znalost českého jazyka a českých reálií – tohle je jedna z výhod „malých“ národů.

No já bych navrhl Turinga pro první příspěvek v dané hodině, pak bez kontroly. Turinga bych však provedl na principu kompletního znáhodnění například pomocí data, či času. Otázky i když by byly stejné, ale díky znáhodnění by se jich dalo vygenerovat velké množství. Bohužel ani to není finální řešení, bo každý algoritmus se dá replikovat. No možná to nějak půjde přes ty vteřiny tam by v době čtení textu bootem byl jiný údaj a správný výsledek by nešel strojově generovat.

A co takhle nechavat bejt na pokoji prispevky (max otravovat nejakou captchou), kde se nevyskytuje zadna URL, pripadne vyskytuje odkaz nekam jinam na roota. A ty na kterejch nejaka URL je, pak otravovat nejakejma dalsima otazkama ci tak nejak.

Pokud mate problem se standardnimi spamery, kteri umistuji do komentaru svoje odkazy (ted ne s nikym kdo chce jen zaplnit komentare nesmyslnejma komentarema typu sdfsdfsdfsdfsdf), mohlo by to resit problem. Tedy alespon mne to problem kdysi vyresilo.

Už týden při otevření root.cz na mě štěkne nadpis SVINĚ spamerské. Po týdnu mě jako čtenáře ten nápis obtěžuje víc než spam v diskusích. Co s tím uděláme ??? Asi nic, že.

A co skusit jednoduchy test typu fotka bananu a pod tim otazka co je na obrazku? Nebo kliknete na obrazek bananu (dobre tohle bot zvladne nahodnym pokusem). Proste neco jako CAPTCHA jen s jednoznacnymy obrazky veci a misto opisu obrazku jeho popis. Predpokladam ze OCR je na tohle kratky.

A co takhle jednoduchý matematický příklad (který by bylo možné generovat)
například: a+10=-12 kolik je a?
nebo prostě 12+11-13 je ?

A co takhle zkusit Mollom? Funguje pomerne hodne uspesne, neotravuje vubec uzivatele pokud si je jist ze nejde o spam, naopak spam zahazuje. Neni-li si jist, pak vyhazuje CAPTCHU, coz se vsak 99% uzivatelu netyka. Koukam pouzivate wordpress jakozto redakcni system a Mollom je i pro Wordpress:
http://mollom.com/

Resil bych to registraci pres SMS. Kdo chce psat, ten bude. Jedna zprava nikoho nezabije. Muzete mi pak koupit pivo za nejlepsi reseni. Diky.