Как бороться с ботами?

Question

[Isaac Clark]

Здравствуйте.
Подскажите пожалуйста.
Как в Django можно реализовать при регистрации, или может есть возможность сделать это после регистрации, защиту от ботов.
1. Капчу цеплять не хочется.
2. Регистрацию по email пока не пробовал(но думаю, что тоже не самый лучший вариант)
Какие есть еще варианты? Ведь 2 вышеперечисленых бот все равно может обойти?
Спасибо

Answer 1

[Tremax]

Вы ведь понимаете, что если бот нацелен конкретно на ваш сайт, здесь никакая защита не поможет.
Если общий случай, можно придумать какой-то алгоритм на js, браузер его исполняет и отправляет результат, на стороне сервера аналогичный алгоритм, и просто сверяем.

Но нужно учесть, что мы теряем пользователей с откл. js

Comments

[Isaac Clark]

не знаю, что и сказать… то есть вариантов нет?

[Isaac Clark]

как на счет регистрации через смс сообщение?

[rakot]

смс разве не хуже капчи?
Для того чтобы победить смаперов, надо сделать спам не рентабельным, т.е. цена адаптации и работы бота должна быть выше, чем профит полученный с размещения спам сообщений. Не для каждого сайта будут писать отдельного спам бота, написание его должно как минимум себя окупить.

Вот и думайте, сколько спамер может получить с вашего сайта и пишите адекватную защиту(основная задача, чтобы по ходу написания парсера, было сказано — да ну его нафиг этот сайт, за это время я 10 других прикручу), смс в большинстве случаев это оверкил.

[Dzen_Marketing]

XRumer и прочий софт — давно выполняет JS.
Нужна защита, которая будет исполняться в мозгу юзера

[Tremax]

Антикапча уже давно разгадывает капчи, но они актуальны, и будут еще наверное актуальными, из-за того, что это как по мне, наилучшее средство проверки на тест Тьюринг.

Логично предположить, что тесты которые пройдет машина пройдет и человек, а вот наоборот не всегда, если нужно реальная защита, из этого нужно исходить.

Конечно, js не серебряная пуля, все что этот способ даст, это отсев ботов, которые могут интепретировать js, и тех которые нет, вот мы и отсекаем 2-ой тип ботов — большинство.

Answer 2

[vimvim]

Попробуйте сделать следующее:
— Для всех полей генерируйте случайные имена для каждого запроса формы.
То есть вместо:
<input name=«firstName… >
<input name=»email"… >
у Вас будет:
<input name=«r245»… >
<input name=«x287»… >
— Порядок полей тоже должен меняться
— Генерируйте случайный порядок и имена для кнопок Register и Cancel

Некоторые боты умеют анализировать текст окружающий поле ввода для того чтобы понять что туда нужно вводить, поэтому вместо надписи Email перед полем, лучше разместить картинку с соотвествующим текстом.

После формы регистрации можно добавить дополнительный шаг с простейшим вопросом предусматривающим выбор одного значения из двух. Например: Луна имеет форму: «Круг», «Квадрат»

Answer 3

[marazmiki]

Упростите жизнь себе и своим пользователям: используйте аутентификацию через социальные сети. В решениях типа ULogin или Loginza уже собраны десятки способов идентификации пользователя. Хоть один, да подойдёт :-)

Проблема борьбы со спамом автоматически ложится на плечи стороннего сервиса, а пользователям не придётся запоминать новый пароль.

И с джангой они отлично дружат.

Answer 4

[Dzen_Marketing]

Так же как и не в Джанго.
Самое действенное это сделать чекбокс с каким-нить левым именем, боты, как правило, его не заполняют.
На другом проекте у меня текстфилд где надо впечатать «Нет». Боты его тоже игнорят.

Comments

[Isaac Clark]

То есть, достаточно поставить пустой чекбокс, на который нужно кликнуть и бот не пройдет?

[Dzen_Marketing]

Вот, как пример, fermer.ru/user/register
Спамеров реально стало 1-2 в сутки, а до этого сплошным потоком шли

[Isaac Clark]

Если бот заполняет текстовые поля, то что ему мешает поставить галочку в чекбоксе? ПРосто не понимаю…

[Dzen_Marketing]

Боты чаще всего игнорят незнакомые поля.
Т.е. текстфилды с именем site, url, homepage — они наверняка заполнят, а текстфилд ololo — сомнительно

Answer 5

[MaxUp]

я задавался таким вопросом ранее — Какие существуют методы защиты от спам регистраций? . Сейчас работают на защитой. Может информация из топика выше поможет.

Answer 6

[Dzen_Marketing]

Ещё вспомнил.
Очень часто спамеры используют «размноженные» мыла.
Вот рецепт для друпал-сайтов www.drupal.ru/node/58703, для остальных тоже что-то такое должно быть

Answer 7

[krasulya]

Можно добавить какое-нибудь поле и скрыть его. Если в него ввели значение, значит, это бот.

По идее, лучше не использовать «display: none» или «visibility: hidden». Думаю, боты могут это определять. А, например, перекрывать дивом.

Answer 8

[Никита]

В своё время решал похожую задачу так: анализировал поведение до защищаемого события (правда, это было голосование в конкурсе, а не регистрация).

Правила примерно такие:
— человек пришёл со страницы списка участников
— минимум секунду читал текст на странице голосования
— проголосовал
— перещёл и загрузил со всей статикой (можно подсунуть какую-нибудь динамическую картинку, отдаваемую джангой) страницу просмотра результатов и пр.

Обычно боты тупо долбяться в страницу формы, игнорируя всё остальное. Хотя, они и умнеют со временем.

После того, как клиент определён, как поздозрительный, совсем не обязательно наглухо закрывать регистрацию, можно, например, добавить капчу, это спасёт от ложных срабатываний, при том, что большинство будут регистрироваться и так. Полезно будет также мониторить кол-во клиентов, определённых как хорошие и подозрительные. Это поможет отладить механизм.

Comments

[Никита]

Вот ещё забыл добавить, все остальные советы из топика тоже можно применить, как ещё одно правило для определения ботов.