Pull to refresh
6
0
Дмитрий Белкин @belkin-labs

User

Send message
Спасибо! Это точно оно! Но исковерканное.
Сервисы, которые реально поражают отдельные IP в правах, или просто ведут черные списки IP, обычно имеют и сервисы для выведения адресов из черных списков. Для этого нужно написать коротенький коммент (я человек), заполнить капчу и нажать на кнопку. При этом адрес убирается из черного списка до следующего плохого события с него.

Года три или четыре назад я испытывал реальные трудности при работе с Yota. Адреса этого провайдера были во многих черных списках и многие сайты реально не загружались, а поисковики мучили капчей на каждое действие.
Согласен. Пример не самый удачный. Под безопасностью я имел ввиду тот факт, что скрипт dispatch.php разбирается по каждому входящему REQUEST_URI, что с ним делать и пропускает только правильные, с его точки зрения. Но я не знаю, стоит ли это уточнять в статье, ибо безопасность просто к слову пришлась, как одна из положительных характеристик упомянутого метода, и темой статьи напрямую не является.
Большое спасибо! Вы, очевидно, правы на 100%.

Но у меня есть клиенты с Apache, и вопросы правки .htaccess довольно популярны. Так что приходится иногда помучиться.
Именно шаред хостинг. Указанные пути связаны с тем, что на моем домашнем компьютере установлена Ubuntu.
Как альтернатива крону (cron — демон-планировщик задач в юникс-подобных системах). В настоящее время получается так, что когда спам-робот заходит, антиспам-система определяет его, и перед тем, как он получит ответ, на сайте выполняются некие сервисные действия из очереди этих действий. Например, проверяется целостность файловой системы, отправляются уведомления пользователям о появлении новых коментариев к статьям. Таким образом, робот вынужден какое-то очень малое время ждать. Мне этот факт греет душу.
Предполагается, что вопрос написан нормальным шрифтом, не исковерканным, и буквы не налезают друг на друга, нет ряби, снега, наклонов в разные стороны и всего остального, что есть в современных графических капчах.
Я ошибся, прошу прощения.
Вопрос «введите цифрами число семьсот сорок семь»
В другой раз должен быть другой вопрос, например, «сколько минут в часе?»
В третий раз «А правда, что в часе 60 минут? Ответьте да или нет»
В четвертый «А в сутках двадцать четыре часа или двадцать пять?» Введите ответ цифрами

и так далее по списку готовых вопросов. Боюсь, тут нужен искусственный интеллект, что отвечать на такие вопросы.

И вот тут мы плавно переходим еще к одной очень интересной теме. На вопрос «Какой спутник планеты Земля» (ответ Луна) порядка 10% пользователей не могут дать правильного ответа, и от них идут письма администратору. Некоторые письма с текстом «Что за безобразие ваша капча???» Другие письма «Программисты, исправьте капчу, она не работает!» Проблема, буду крайне толерантным, в первичном отборе пользователей.

Графическая же капча отбирает только тех, у кого хорошие глаза и крепкие нервы.
Говорю совершенно откровенно. Я не знаю, как быть.

Мне хотелось бы для начала ознакомиться хоть с одним таким событием. На мое сборщике спама стоят все возможные, как мне кажется ловушки. Если будет событие прохода спама, то я, наверное, посмотрю, поймалось ли что-нибудь в ловушки.

Если спаммер будет программно нажимать на Яваскриптовую кнопку, то, боюсь, кроме капчи не будет спасенья.

Но тогда я буду выступать за более приличные капчи. Где не нужно глаза ломать и сильно напрягаться (я плохо вижу). Я за капчу в виде вопроса. Например, «Введите цифрами число 747». Причем в словаре должны быть не однотипные вопросы, а разные. Выраженные разными словами и не имеющими общей схемы.

Но заметьте. Спаммеры хотят нас спамить! При этом борьба с JS явилась бы для них прорывом! Но эта технология не внедряется повсеместно и быстро. Значит есть какие-то сложности в этом деле и мы еще поживем!
Я согласен с вами на 100%

В поддержку вашего комментария добавлю.

По моему опыту роботы из года в год все такие-же унылые и работают по одному и тому же алгоритму, ничего не меняя, не соврешенствуясь, не используя новых алгоритмов. При этом хозяева роботов однозначно разные. Я проверяю их айпишники по www.projecthoneypot.org и иногда, очень редко, по содержимому. Кто-то специализируется только на виагре с циалисом и никуда с этих позиций не двигается, как ни странно.

У меня какое-то время была тоже капча, примерно, как в вашем посте, только я еще и ответ писал. У меня был вопрос типа: «Сколько будет 345 помножить на 312? Ответ: 107640». И никаких «пролетов»! Ни один робот не был на такую наглость рассчитан.

Причем графическую капчу читать могли и читали просто на ура!

Я, если честно, не знаю иерархии в среде спаммеров. Есть, например, среди них начинающие, тренирующиеся и гуру? Как отбираются сайты, достойные внимания гуру? По каким признакам и параметрам? Все это очень интересные вопросы, если влезать в тему реально глубоко.

Вот еще очень хороший вопрос. Антиспам-подходы Яндекса и Гугла, как самых крутых для примера? Эти подходы формируются из реальных нападений, или админы просто такие же программеры, как мы и многократно перестраховываются просто из соображений огромной ответственности, которая на них лежит?
А вы попробуйте.

Сначала зайдите в форму.
Потом задайте пробный коммент
Потом определите, что за алгоритм работает
Потом поэкспериментируйте с бэкендом, который коды выдает
Потом попрубуйте скомбинировать одно(!) пробное письмо со спамом
Потом, когда увидите, что письмо не прошло, догадайтесь, что код работает ограниченное время
Потом сделайте программу специальную для спама именно моего сайта.

Потом плюньте на это дело, и решите, что легче спамить какие-нибудь другие сайты.
шопотом (интим)
Я от программирования тащусь. Моя программа — это всегда картина. Я заканчиваю ее, потом некоторое время любуюсь, потом изредка подхожу и делаю несколько дополнительных мазков. Если в процессе любования своим детищем оно мне не кажется красивым, я его переделываю полностью. Часто с нуля. В свободное время. При таком подходе я не могу (часто) использовать чужие коды. Чисто с эстетической точки зрения. Но кое-что использую. PHPmailer, например. Но я все равно его переопределяю. Учусь же я, в основном на движках, которые делаю для клиентов. На CS-CART, например. Ну и, конечно, иногда меня эстетически заносит. Но я научился себя за это прощать.
Вы знаете, я тут использую очень спорный прием. Заходы ботов и подозрительных IP на мой сайт я использую практически. На каждый такой заход у меня стоит полезная нагрузка. Проверка порции папок на новые файлы, отсылка уведомлений пользователям о комментариях на сайте и так далее. Я не использую никаких кронов. Поскольку заходов довольно много (200-300 в день), то все сервисные дела ими покрываются. А то, что львиная часть происходит ночью — даже хорошо. Своеобразный естественный крон получается.
Вы слишком категоричны, а жизнь часто преподносит сюрпризы.
Я думаю все хорошее уже изобретено в нашей сфере. Только очень глубоко закопано. Я бы никогда не взял на себя смелость заявлять, что что-то изобрел. Это слишком опасно для имиджа. Могут действительно указать на первоисточник. Я просто путем долгих экспериментов пришел к выводу, что он почти идеален. Опять же, я не презентовал свой метод именно тогда, когда пришел к нему. Это было года 4 назад. Может Front Controller моложе?
Согласен!

Может быть случаи, которые вы приводите — это безалаберность админов? В доках, вроде не советуют такие вещи делать, а доки читаются первыми (хабр за доками идет).

Но хочу еще добавить, что и хостинги содержат много настроек безопасности, о которых узнаешь только когда с ними сталкиваешься. Вот, например, с какого-то момента хостом баз данных стал повально использоваться localhost, и достучаться до базы данных стало возможно только локально, то есть с родного сайта. То есть, заметьте как интересно, все опять упирается в левый скрипт в корневой папке. Я, возможно, скажу крамолу, но есть ощущение, что после повсеместного внедрения урл-рерайтинга, подсадка шелла осталась единственным реальным методом «хорошо взломать». Ну или откровенные поделки, которые действительно, кроме любителей и не нужны никому.
У меня есть некоторые случаи, когда я вообще посылаю очень далеко. Пишу «Большое спасибо» и все. Без объяснений
Вообще, трафика жалко. Тем более на ботов.
На публичном хостинге у нас есть соседи по серверу. Так что вообще трафика очень жалко!
У меня у самого накопилось этих урлов на 900 страниц уже. Уже сделал сводную таблицу. Но спасибо за наводку. Я, если честно, хочу свой список в общий доступ выложить. Да все не соберусь. Выложу — презентую.

Information

Rating
Does not participate
Location
Москва и Московская обл., Россия
Date of birth
Registered
Activity