Как выгнать ботов из анонимного чата?

Question

[Святослав Немато]

Существует анонимный чат.
Писать туда могут любые люди, без регистрации.
Но в чат повадились боты, причём написанные под конкретно этот чат.

Какая защита есть сейчас:
1. Администратор чата, но он не всегда может быть 24/7
2. Чат русскоязычный, поэтому если кто то пишет более 2 англоязычных слов подряд, сообщение удаляется (англоязычные боты разу пропали).
3. Если кто то пишет сообщение более заданного числа букв, получает бан. (легко обойти)
4. Если кто то пишет одни и те же сообщения или пишет сообщения слишком часто, предлагается ввести код капчи (тоже обходится писание разных сообщений с разных ip)
5. При отправке сообщения генерируется хэш сумма запроса, которая проверяется на стороне сервера. (тоже не трудно обойти)
6. Весь трафик идёт через прокси сервер, боты с плохими заголовками или без них отлетают сразу, ещё на стадии прохода через проксю.

Вопрос: Как ещё можно подпортить кровь программистам, которые пишут ботов под мой чат?

Дополнение 1.
Передать права администратора пользователям нельзя. Участники - компании, и с правами администратора, они просто будут давить конкурентов.
Много комментариев про то, что бы регестрироваться, это исключено. В связи со спецификой чата, ни кто регистрироваться не будет.
Понравилась идея, отследить какие слова, чаще всево используют спамеры и вызывать при их использовании капчу.
Иногда боты просто вставляют текст из википедии или других сайтов, без ссылок и майлов, что бы заспамить чат. Проделки конкурентов.
Может у кого ещё есть идеи?

Comments

[landergate]

Какие ещё паттерны поведения есть у этих ботов?

[landergate]

Что у чата за протокол?

[Святослав Немато]

http хотел сокеты, но много пользователей сидят на старых браузерах

[Freeman]

В русских чатах все молчат большую часть дня, поэтому надо банить тех, кто заговорит первым, если это не старожил.

[Алексей Ярков]

Vapaamies: ага ))) чтобы тишину не нарушал

[landergate]

Не забудьте отметить "Решением" ответы, которые смогли помочь прикинуть ситуацию.

[landergate]

Святослав Немато
Отметьте уже решением этот вопрос. =)

Answer 1

[landergate]

Если паттерны поведения предсказуемы (интервалы, фразы, наличие ссылок) - автоматически блокировать по обнаружении, но вы это уже отчасти делаете.

Если паттерны непредсказуемы, вариантов немного:

• Ручная модерация. Добавить больше операторов в чат среди постояльцев.
  
• Трекить источник подключения. Возможно, что боты запускаются с одних сетей. Можно закрыть им доступ к чату.
  
• Минимальная капча на вход. Не обязательно делать её сверх-сложной.
  
• Заблокировать подключение хостам со списков DNSBL и Tor-exit нод.
  

Answer 2

[iBird Rose]

запретить постинг через прокси. 2ch к примеру так работает. через прокси и всякие frigate расширения нельзя отправлять сообщения

Answer 3

[Adamos]

Юзерам ведь тоже надоели спамеры?
Так дайте зарегистрированным пользователям возможность попросить полномочия модератора-спамореза, способного единолично, одной кнопкой, скрыть любое сообщение от анонима.
Адекватным завсегдатаям - дайте.
Останется вам только отслеживать злоупотребляющих этим делом и отбирать у них плюсометы.

Answer 4

[fluid]

Добавить пустой js файл, который будет обрабатывать backend, если было обращение к этому файлу от юзера - все ок, если нет - бот. только нужно что бы у всех юзеров обновилась страница. Боты обычно не браузерные, а консольные и не вытягивают полную страницу сайта, а на прямую обращаются к API.

Answer 5

[fredis69]

У меня тоже есть подобный чат (без регистрации) боты были раньше,
Подключил fingerprint - https://github.com/Valve/fingerprintjs2
При первом входе пользователя в чат, запускаем fingerprint (конечно при его запуске страница гораздо дольше грузится, но это только при первом входе), после чего добавляем fingerprint в бд к остальным данным о этом пользователе и в сессию, и при каждой отправке сообщения сверяем данные.
Если у пользователя не определился fingerprint, то он просто не может писать в чат.
И боты пропали, сейчас иногда бывают спамеры, которые через браузер спамят, но на них, у меня есть модераторы, которые могут своевременно забанить данного пользователя (бан идет по IP и fingerprint)

Не каких капч нет в чате. Возле каждого сообщения есть кнопка с жалобой (любой пользователь, который общается в чате более суток может отправить жалобу, она приходит мне и модераторам на телефон, в случае чего можем быстро отреагировать)

Answer 6

[xmoonlight]

Все четко сказал landergate!
Я добавлю к его ответу:
1. Сделайте кнопку "спам" (значок + диалоговое окно для подтверждения) напротив каждого сообщения юзера в чате.
2. Если юзер получил 50% или более голосов от других пользователей (для подсчета процентов, фиксируем кол-во пользователей в чате на момент входа юзера в чат-комнату), что он спамер - заносим этот IP в бан-лист на 1 час и фиксируем IP и кол-во штрафов в базе.
3. Если снова получил этот же IP: бан на день, затем (при следующем штрафе) - на месяц, на 3, на пол-года и перманентный.

Answer 7

[Максим Тимофеев]

Сделайте как на тостере, дайте возможность пользователям самим модерировать. Например кнопка спам. Получили 3 сообщения о спаме - удалили

Но самый правильный способ, это авторизация через соц сети. Причем через те, где новый аккаунт завести не просто.

Comments

[landergate]

Возможный подход, но он сработает только в адекватном и закрытом сообществе.
Можно злоупотреблять возможностью ввести одновременно 50 ботов в чата, чтобы те проголосовали за удаление из чата определённого человека. Даже без ботов, злоупотреблять этим можно просто по договорённости.

На Тостере помеченное спамом всё-равно удаляют в итоге модераторы вручную.

[Максим Тимофеев]

landergate: ограничить частоту голосования

[Максим Тимофеев]

Но самый лучший способ, авторизация через соц сети

[landergate]

Максим Тимофеев: Если интервал глобальный, то тогда посетители не смогут оперативно голосовать против настоящих спамеров - придётся выжидать большой интервал. Всё это время спамер будет в чате и будет что-то писать.

Если интервал персональный, то он никак не воспрепятствует злоупотреблению - абьюз репортов выкинет человека количеством репортящих, просто заведя в чат 50 ботов, которые репортнут нормального пользователя.

[Максим Тимофеев]

landergate: я думаю 20 в день решат проблему, у Вас же не 5 человек на сайте кроме ботов. А если 5, то зачем такое поддерживать. Но я все равно считаю, что ваш путь - это авторизация через соц сети, иначе спам не побороть. А для пользователя это 1 клик, ну 2

[Святослав Немато]

Чат анонимный поэтому регистрация в нём по желанию, притом регистрацию легко обойти, регистрируемся в ручную, передам куки боту и поехало.
Репорты есть, но сообщения удаляет администратор.
Также есть прокси сервер, который тоже отсеивает ботов.
Давно видел статью, где предлагалось генерировать хэш от контрольных чисел для отправки на сервер, но сейчас не могу найти эту статью.

[Максим Тимофеев]

Святослав Немато: Как анонимность связана с регистрацией? Не показывайте данные пользователей и все. Если регистрация через соц сети только!!! - то обойти не просто.

[landergate]

Максим Тимофеев: Возможно специфика ресурса предполагает, что даже владелец чата не должен получать информацию об участниках.
Психологически пользователь не станет авторизовываться в таком чате через реальный профиль. К тому же, у такой аудитории обычно нет аккаунтов в социалках.

[Максим Тимофеев]

landergate: Тогда только сложная капча при входе и ее повторное возникновение.

Answer 8

[Иван]

Ничего лучше капчей (при первом входе и далее) и регистрации (легко обходится).
Самое эффективное ИМХО смс авторизация, но это риск остаться без пользователей.

Answer 9

[Святослав Немато]

Спасибо всем большое за ответы.
Но хилые боты отсеиваются ещё на стадии прокси сервера, через который у меня идёт весь трафик. Он же спасает от DDOS атак (в этом году отбил 3 шт.)
Речь идёт о ботах, полностью моделирующих работу пользователя.
С хорошими заголовками.
Сообщения они пишут с рандомным промежутком в 5-15 минут.
В сообщений нет ссылок есть только электронные почты.
К примеру:

Продам носки пишите marina@mail.ru

То что это бот говорит, о его активности 24/7
Обычные пользователи тоже дают свои почты, поэтому банить по мылу не вариант.
Рекапча есть, но она как сказано выше, появляется если сообщения пишут часто или одинаковые.
Постоянно вводить капчу, будет бесить пользователей.
Регистрируются люди по желанию. К статистике в чате 1000 гостей и 50 пользователей.

Comments

[Mr Hobot]

Мстите мразям, дедосьте майлы которые оставляют боты.

[iBird Rose]

Александр +: автор выше написал что чат анонимный. какой он нахрен анонимный будет, если там будет регестрация?

[Reistlin]

стоп-слова(вроде "продам", наличие mail или ссылки) которые триггерят капчу?

[landergate]

Остальные варианты уже описаны в других ответах. Отметьте наиболее понравившиеся в качестве Решения. =)

Уточнения и новые подробности к своему вопросу лучше писать в тексте самого вопроса, чем ответом сюда. Ответ никто не увидит, никто не получит оповещение.