0 Пользователей и 1 Гость просматривают эту тему.
  • 30 Ответов
  • 7040 Просмотров
*

b2z

  • Глобальный модератор
  • 7101
  • 769 / 0
  • Разраблю понемногу
Господа!

Заметил у себя на сайте одну неприятную вещь - очень большое кол-во непонятных регистраций. Почему непонятных? Потому что все регистрации очень похожи тем, что в них username и name всегда совпадают. Как правило эти юзеры потом наровят кинуть какую-то спам ссылку мне в модуль чата.

Меня это задолбало и я поставил reCaptcha. Блин, не помогло. Регистрации все ещё продолжаются. Тогда я решил поставить проверку на совпадение name и username и добавил такую проверку в шаблон компонента com_user:

Код
<script type="text/javascript">
jQuery('#josForm').submit(function(){
if(jQuery('#name').val() == jQuery('#username').val())
{
alert(jQuery('#name').val() + ' = ' + jQuery('#username').val());
return false;
}
});
</script>

И это тоже не срабатывает. Всё равно регистрации с одинаковым username и name появляются. Я так понимаю, что регятся роботы и для них JS не помеха или я не слишком опытен. Прошу помощи и спецов - что можно еще придумать?


Благодарю!

UPDATE:
Блин, только что заметил, что моя JS проверка не срабатывет. А ведь тестил - всё работало  :o  Ищу причину. В любом случае вопрос остается - как еще можно защититься.
*

one_more

  • Захожу иногда
  • 139
  • 87 / 3
  • there is no spoon
А с чего Вы решили, что робот вообще выполняет JavaScript? Это не браузер. Он просто "знает, как называются" поля стандартной формы, какой скрипт в action и постит в него. Боты по кнопкам не кликают. По поводу "как защититься" в форуме много чего написано, например здесь.
Errare humanum est
*

b2z

  • Глобальный модератор
  • 7101
  • 769 / 0
  • Разраблю понемногу
one_more спасибо за отклик. Да в том то и дело, что я в этом полный профан :) Каптча не помогает :( Значит остается только смириться с неизбежным...
*

Вязной

  • Захожу иногда
  • 195
  • 19 / 0
  • Просто Вова
Хм.... РеКапчу ломают? Я думаю, вы упустили какой-то момент, очень маловероятно, что поломали рекапчу, так уж она устроена. Посмотрите логи, посмотрите кто и как регается...
*

b2z

  • Глобальный модератор
  • 7101
  • 769 / 0
  • Разраблю понемногу
Ну я точно не упустил момент никакой, потому что без правильного ввода слов зарегиться нельзя... А какие логи? Апача?
*

Василий

  • Захожу иногда
  • 65
  • 0 / 0
У меня тоже регятся "непонятно кто".
Пока просто удаляю в корзину в менеджере пользователей
*

mohax

  • Давно я тут
  • 901
  • 66 / 3
Ну я точно не упустил момент никакой, потому что без правильного ввода слов зарегиться нельзя... А какие логи? Апача?
Возможно и так. Если Ваш сайт в листе бота один из тысячи, то можно попробовать с помощью JS на странице регистрации делать дополнительное поле в форме, можно даже со случайным названием (содержимым) =) И на стороне сервера проверять, есть ли это поле или данные в нем. Но в случае, если вас спамят целенаправленно, то такую защиту можно обойти.
*

CTPZ

  • Захожу иногда
  • 305
  • 24 / 5
one_more спасибо за отклик. Да в том то и дело, что я в этом полный профан :) Каптча не помогает :( Значит остается только смириться с неизбежным...
Если переименовать поля то число ботов снизится заметно.
*

Василий

  • Захожу иногда
  • 65
  • 0 / 0
Проверил одного зарегистрированного rachmieladrep@gmail.com
Вот что нашёл:
« Последнее редактирование: 28.05.2011, 12:18:40 от Василий »
*

Mihanja80

  • Завсегдатай
  • 1918
  • 168 / 4
  • Всю жизнь учусь...
Бесплатный и на родном, многим, Русском языке EasyCalcCheck PLUS
И нет больше ботов! ;)
Я с мобильного, в основном...
*

CTPZ

  • Захожу иногда
  • 305
  • 24 / 5
Бесплатный и на родном, многим, Русском языке EasyCalcCheck PLUS
И нет больше ботов! ;)
Не согласен. всегда бот придумает, как обойти защиту. А вот если поля переименовать. например вместо name написать eman то бот поля Имя не найдет.
*

Mihanja80

  • Завсегдатай
  • 1918
  • 168 / 4
  • Всю жизнь учусь...
в этом плагине есть возможность указать свой вопрос и ответ на него! Как бот это обойдет?
Я с мобильного, в основном...
*

yuri-design

  • Давно я тут
  • 652
  • 76 / 5
А если вместо текста, например, "емайл", "логин" давать ссылку на картинку с таким же текстом, бот ведь не понимает надпись в .jpeg
Просто на ум пришло... возможно так сделать? И какой результат?

зы: Просто любопытно ^-^
*

CTPZ

  • Захожу иногда
  • 305
  • 24 / 5
в этом плагине есть возможность указать свой вопрос и ответ на него! Как бот это обойдет?
просто. он читает вопрос и отвечает на него. боты нынче умные
*

CTPZ

  • Захожу иногда
  • 305
  • 24 / 5
А если вместо текста, например, "емайл", "логин" давать ссылку на картинку с таким же текстом, бот ведь не понимает надпись в .jpeg
Просто на ум пришло... возможно так сделать? И какой результат?

зы: Просто любопытно ^-^
Ни или так
*

Mihanja80

  • Завсегдатай
  • 1918
  • 168 / 4
  • Всю жизнь учусь...
просто. он читает вопрос и отвечает на него. боты нынче умные
Могу лишь одно сказать, этот плагин работал на форуме пол года (тогда на Joomla 1.5, сейчас на форуме гостям писать запрещено) и сейчас на регистрации и защите админки - нет больше ботов! Это при стандартном математическом вопросе...

Попробуйте написать свой вопрос, например: Имя последнего президента СССР? Тут не то что боты, тут половина людей ответа незнает :)
Я с мобильного, в основном...
*

Василий

  • Захожу иногда
  • 65
  • 0 / 0
Бесплатный и на родном, многим, Русском языке EasyCalcCheck PLUS
И нет больше ботов! ;)
Что это, извините за банальный вопрос.
Конфликтовать ни с чем не будет?
*

ChaosHead

  • Гуру
  • 5229
  • 450 / 13
Это антиспам
*

one_more

  • Захожу иногда
  • 139
  • 87 / 3
  • there is no spoon
если поля переименовать. например вместо name написать eman то бот поля Имя не найдет.
"Умный" бот парсит html-код страницы, находит и заполняет все input и textarea, и постит в них всякую лабуду (на случай если поля являются обязательными). Так что переименование при защите от бота поможет далеко не всем и не всегда. Но это его паскудное свойство - заполнять все поля - можно использовать на благо. Т.е., например, сделать в форме input и спрятать его средствами CSS (display: none;). А в принимающем скрипте проверять: заполнено поле или нет. Человек такое поле не увидит и не заполнит. А бот - с большой вероятностью заполнит всё (даже то, что в браузере не видно),
Errare humanum est
*

yuri-design

  • Давно я тут
  • 652
  • 76 / 5
"Умный" бот парсит html-код страницы, находит и заполняет все input и textarea, и постит в них всякую лабуду (на случай если поля являются обязательными). Так что переименование при защите от бота поможет далеко не всем и не всегда. Но это его паскудное свойство - заполнять все поля - можно использовать на благо. Т.е., например, сделать в форме input и спрятать его средствами CSS (display: none;). А в принимающем скрипте проверять: заполнено поле или нет. Человек такое поле не увидит и не заполнит. А бот - с большой вероятностью заполнит всё (даже то, что в браузере не видно),
Вы ,как спец по безопасности, что можете посоветовать в данном случае?
Просто хотелось бы ваше мнение...
*

Mihanja80

  • Завсегдатай
  • 1918
  • 168 / 4
  • Всю жизнь учусь...
"Умный" бот парсит html-код страницы, находит и заполняет все input и textarea, и постит в них всякую лабуду (на случай если поля являются обязательными). Так что переименование при защите от бота поможет далеко не всем и не всегда. Но это его паскудное свойство - заполнять все поля - можно использовать на благо. Т.е., например, сделать в форме input и спрятать его средствами CSS (display: none;). А в принимающем скрипте проверять: заполнено поле или нет. Человек такое поле не увидит и не заполнит. А бот - с большой вероятностью заполнит всё (даже то, что в браузере не видно),
Во-во, EasyCalcCheck PLUS тоже имеет это "скрытое" поле + куча всего остального... :)
Остальным,  описание читайте, фигню советовать не буду.
Я с мобильного, в основном...
*

Василий

  • Захожу иногда
  • 65
  • 0 / 0
Цитировать
Остальным,  описание читайте, фигню советовать не буду.
Есть ли русскоязычное описание? Где можно посмотреть?
*

Mihanja80

  • Завсегдатай
  • 1918
  • 168 / 4
  • Всю жизнь учусь...
А по ссылке на китайском?

+ Поиск по форуму = http://joomlaforum.ru/index.php/topic,155569.0.html

(что-то я нервный сегодня, звиняйте)

В настройках плагина Все описано.
Я с мобильного, в основном...
*

one_more

  • Захожу иногда
  • 139
  • 87 / 3
  • there is no spoon
что можете посоветовать в данном случае?
Какой случай является "данным"? Защита от бот-регистрации и бот-спама? Ничего нового тут я не изобрету.
1. Картиночные CAPTCHA. Более-менее надёжна и хорошо настраиваема kcaptcha. В форуме есть ссылки, как её приделать к стандартным компонентам Joomla.
2. Логические CAPTCHA (вроде просьбы отметить нужный чекбокс "я бот - я не бот" или сложить 5 и 7).
3. Описанные выше скрытые поля для форм.
4. Фильтрация ботов по User-Agent (сейчас уже поможет только от самых дурных, но и их за день десятки набегает).
5. Автоматизированное создание собственных "чёрных списков" IP ботов (построенное, например, на том принципе, что "вредные" боты игнорируют robots.txt и лезут, куда их не просят - нужно просто логировать такие IP и добавлять в бан-лист).
6. Использование готовых баз IP ботов (впроде spamhaus и многочисленных  аналогов). "Автоматизированные" способы №№5-6 дадут определённый процент ошибок (будут баниться "хорошие" IP, особенно при варианте 6).
7. Бан по IP "вручную". Тоже возможны ошибки.
8. Ещё, наверно, что-то забыл.

Но фокус тут в том, что любая защита, как только она начала тиражироваться и стала массовой, тут же будет обойдена. Долго и нормально будет работать только индивидуальное решение проблемы, которое может быть комбинацией нескольких. По личному опыту - очень хорошо работает комбинация "картиночной" и "логической" CAPTCHA.
Errare humanum est
*

wishlight

  • Живу я здесь
  • 4879
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
сделайте поле которое не нужно заполнять :)
сделайте свой вопрос и ответ на картинке рядом.

EasyCalcCheck PLUS имеет место быть
*

Василий

  • Захожу иногда
  • 65
  • 0 / 0
При удалении "нового пользователя" из "Менеджер пользователей" - бот удаляется с сайта (админки)?
*

one_more

  • Захожу иногда
  • 139
  • 87 / 3
  • there is no spoon
При удалении "нового пользователя" из "Менеджер пользователей" - бот удаляется с сайта (админки)?
"С сайта" удаляется учётная запись пользователя, созданная ботом. После чего бот может создать новую (в т.ч. с данными, идентичными удалённой записи). К боту (=программе для рассылки спама) Вы доступа не имеете и удалять её не можете.
Errare humanum est
*

Фросенятко

  • Осваиваюсь на форуме
  • 16
  • 0 / 0
  • I am!
Мне нужна Капча в картинках с выбором живой природы на регистрацию новых пользователей . Какую взять и как её приделать в форум Kunena?
*

Фросенятко

  • Осваиваюсь на форуме
  • 16
  • 0 / 0
  • I am!
Вопрос снят, нашла то, что надо! ^-^
*

mohax

  • Давно я тут
  • 901
  • 66 / 3
Вопрос снят, нашла то, что надо! ^-^
Ну дык поделитесь с народом,где нашли?
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Регистрируются боты на сайте непрерывно.

Автор Stich SPb

Ответов: 27
Просмотров: 12218
Последний ответ 22.02.2021, 17:42:48
от soty20
Кто эти люди у меня на сайте?

Автор E.Zhenya

Ответов: 12
Просмотров: 1051
Последний ответ 28.07.2018, 14:45:05
от voland
Регистрация на сайте

Автор yura88851

Ответов: 9
Просмотров: 734
Последний ответ 12.05.2018, 23:07:12
от wishlight
Регистрация злоумышленников с правами "Администратор" - Joomla 3.4.4 - 3.6.3

Автор ELLE

Ответов: 113
Просмотров: 9688
Последний ответ 05.12.2016, 12:48:55
от wishlight
Взломан сайт. как оповестить пользователей?

Автор annavanlee

Ответов: 8
Просмотров: 730
Последний ответ 18.06.2016, 18:18:07
от dmitry_stas