Регистрация новых пользователей: боты или люди? - Безопасность сайтов на Joomla

Господа!

Заметил у себя на сайте одну неприятную вещь - очень большое кол-во непонятных регистраций. Почему непонятных? Потому что все регистрации очень похожи тем, что в них username и name всегда совпадают. Как правило эти юзеры потом наровят кинуть какую-то спам ссылку мне в модуль чата.

Меня это задолбало и я поставил reCaptcha. Блин, не помогло. Регистрации все ещё продолжаются. Тогда я решил поставить проверку на совпадение name и username и добавил такую проверку в шаблон компонента com_user:


И это тоже не срабатывает. Всё равно регистрации с одинаковым username и name появляются. Я так понимаю, что регятся роботы и для них JS не помеха или я не слишком опытен. Прошу помощи и спецов - что можно еще придумать?


Благодарю!

UPDATE:
Блин, только что заметил, что моя JS проверка не срабатывет. А ведь тестил - всё работало    Ищу причину. В любом случае вопрос остается - как еще можно защититься.

А с чего Вы решили, что робот вообще выполняет JavaScript? Это не браузер. Он просто "знает, как называются" поля стандартной формы, какой скрипт в action и постит в него. Боты по кнопкам не кликают. По поводу "как защититься" в форуме много чего написано, например здесь.

one_more спасибо за отклик. Да в том то и дело, что я в этом полный профан Каптча не помогает Значит остается только смириться с неизбежным...

Хм.... РеКапчу ломают? Я думаю, вы упустили какой-то момент, очень маловероятно, что поломали рекапчу, так уж она устроена. Посмотрите логи, посмотрите кто и как регается...

Ну я точно не упустил момент никакой, потому что без правильного ввода слов зарегиться нельзя... А какие логи? Апача?

У меня тоже регятся "непонятно кто".
Пока просто удаляю в корзину в менеджере пользователей

Ну я точно не упустил момент никакой, потому что без правильного ввода слов зарегиться нельзя... А какие логи? Апача?

Возможно и так. Если Ваш сайт в листе бота один из тысячи, то можно попробовать с помощью JS на странице регистрации делать дополнительное поле в форме, можно даже со случайным названием (содержимым) =) И на стороне сервера проверять, есть ли это поле или данные в нем. Но в случае, если вас спамят целенаправленно, то такую защиту можно обойти.

one_more спасибо за отклик. Да в том то и дело, что я в этом полный профан Каптча не помогает Значит остается только смириться с неизбежным...

Если переименовать поля то число ботов снизится заметно.

Проверил одного зарегистрированного rachmieladrep@gmail.com
Вот что нашёл:

Бесплатный и на родном, многим, Русском языке EasyCalcCheck PLUS
И нет больше ботов!

Бесплатный и на родном, многим, Русском языке EasyCalcCheck PLUS
И нет больше ботов!

Не согласен. всегда бот придумает, как обойти защиту. А вот если поля переименовать. например вместо name написать eman то бот поля Имя не найдет.

в этом плагине есть возможность указать свой вопрос и ответ на него! Как бот это обойдет?

А если вместо текста, например, "емайл", "логин" давать ссылку на картинку с таким же текстом, бот ведь не понимает надпись в .jpeg
Просто на ум пришло... возможно так сделать? И какой результат?

зы: Просто любопытно

в этом плагине есть возможность указать свой вопрос и ответ на него! Как бот это обойдет?

просто. он читает вопрос и отвечает на него. боты нынче умные

А если вместо текста, например, "емайл", "логин" давать ссылку на картинку с таким же текстом, бот ведь не понимает надпись в .jpeg
Просто на ум пришло... возможно так сделать? И какой результат?

зы: Просто любопытно

Ни или так

просто. он читает вопрос и отвечает на него. боты нынче умные

Могу лишь одно сказать, этот плагин работал на форуме пол года (тогда на Joomla 1.5, сейчас на форуме гостям писать запрещено) и сейчас на регистрации и защите админки - нет больше ботов! Это при стандартном математическом вопросе...

Попробуйте написать свой вопрос, например: Имя последнего президента СССР? Тут не то что боты, тут половина людей ответа незнает

Бесплатный и на родном, многим, Русском языке EasyCalcCheck PLUS
И нет больше ботов!

Что это, извините за банальный вопрос.
Конфликтовать ни с чем не будет?

Это антиспам

если поля переименовать. например вместо name написать eman то бот поля Имя не найдет.

"Умный" бот парсит html-код страницы, находит и заполняет все input и textarea, и постит в них всякую лабуду (на случай если поля являются обязательными). Так что переименование при защите от бота поможет далеко не всем и не всегда. Но это его паскудное свойство - заполнять все поля - можно использовать на благо. Т.е., например, сделать в форме input и спрятать его средствами CSS (display: none;). А в принимающем скрипте проверять: заполнено поле или нет. Человек такое поле не увидит и не заполнит. А бот - с большой вероятностью заполнит всё (даже то, что в браузере не видно),

"Умный" бот парсит html-код страницы, находит и заполняет все input и textarea, и постит в них всякую лабуду (на случай если поля являются обязательными). Так что переименование при защите от бота поможет далеко не всем и не всегда. Но это его паскудное свойство - заполнять все поля - можно использовать на благо. Т.е., например, сделать в форме input и спрятать его средствами CSS (display: none;). А в принимающем скрипте проверять: заполнено поле или нет. Человек такое поле не увидит и не заполнит. А бот - с большой вероятностью заполнит всё (даже то, что в браузере не видно),

Вы ,как спец по безопасности, что можете посоветовать в данном случае?
Просто хотелось бы ваше мнение...

"Умный" бот парсит html-код страницы, находит и заполняет все input и textarea, и постит в них всякую лабуду (на случай если поля являются обязательными). Так что переименование при защите от бота поможет далеко не всем и не всегда. Но это его паскудное свойство - заполнять все поля - можно использовать на благо. Т.е., например, сделать в форме input и спрятать его средствами CSS (display: none;). А в принимающем скрипте проверять: заполнено поле или нет. Человек такое поле не увидит и не заполнит. А бот - с большой вероятностью заполнит всё (даже то, что в браузере не видно),

Во-во, EasyCalcCheck PLUS тоже имеет это "скрытое" поле + куча всего остального...
Остальным,  описание читайте, фигню советовать не буду.

Остальным,  описание читайте, фигню советовать не буду.

Есть ли русскоязычное описание? Где можно посмотреть?

А по ссылке на китайском?

+ Поиск по форуму = http://joomlaforum.ru/index.php/topic,155569.0.html

(что-то я нервный сегодня, звиняйте)

В настройках плагина Все описано.

что можете посоветовать в данном случае?

Какой случай является "данным"? Защита от бот-регистрации и бот-спама? Ничего нового тут я не изобрету.
1. Картиночные CAPTCHA. Более-менее надёжна и хорошо настраиваема kcaptcha. В форуме есть ссылки, как её приделать к стандартным компонентам Joomla.
2. Логические CAPTCHA (вроде просьбы отметить нужный чекбокс "я бот - я не бот" или сложить 5 и 7).
3. Описанные выше скрытые поля для форм.
4. Фильтрация ботов по User-Agent (сейчас уже поможет только от самых дурных, но и их за день десятки набегает).
5. Автоматизированное создание собственных "чёрных списков" IP ботов (построенное, например, на том принципе, что "вредные" боты игнорируют robots.txt и лезут, куда их не просят - нужно просто логировать такие IP и добавлять в бан-лист).
6. Использование готовых баз IP ботов (впроде spamhaus и многочисленных  аналогов). "Автоматизированные" способы №№5-6 дадут определённый процент ошибок (будут баниться "хорошие" IP, особенно при варианте 6).
7. Бан по IP "вручную". Тоже возможны ошибки.
8. Ещё, наверно, что-то забыл.

Но фокус тут в том, что любая защита, как только она начала тиражироваться и стала массовой, тут же будет обойдена. Долго и нормально будет работать только индивидуальное решение проблемы, которое может быть комбинацией нескольких. По личному опыту - очень хорошо работает комбинация "картиночной" и "логической" CAPTCHA.

сделайте поле которое не нужно заполнять
сделайте свой вопрос и ответ на картинке рядом.

EasyCalcCheck PLUS имеет место быть

При удалении "нового пользователя" из "Менеджер пользователей" - бот удаляется с сайта (админки)?

При удалении "нового пользователя" из "Менеджер пользователей" - бот удаляется с сайта (админки)?

"С сайта" удаляется учётная запись пользователя, созданная ботом. После чего бот может создать новую (в т.ч. с данными, идентичными удалённой записи). К боту (=программе для рассылки спама) Вы доступа не имеете и удалять её не можете.

Мне нужна Капча в картинках с выбором живой природы на регистрацию новых пользователей . Какую взять и как её приделать в форум Kunena?

Вопрос снят, нашла то, что надо!

Вопрос снят, нашла то, что надо!

Ну дык поделитесь с народом,где нашли?