Skydd mot automatisk registrering långsamt. CAPTCHA - Automatiskt registreringsskydd
Så här skyddar du forumet på PHPBB-motorn från automatisk registrering
- Spam och antispam
PhBBs Forum Engine har många fördelar, det är också bekvämt för användare och för moderatorer och, som ett resultat, mycket populärt. Men det är exakt popularitet som ger upphov till sin huvudsakliga nackdel - det är spammat och spammat i automatiskt läge. Efter en tid kan det konstanta flödet av registrering av nya falska användare och skräppost från dem beställas för att förgifta nerverna på platsadministrationen.
PHPBB version 3. * I den grundläggande försörjningen innehåller den så mycket som 4 alternativ för capping, som kan erbjudas användare när du registrerar dig på forumet. Det finns även reCAPTCHA. Men för AutosBrumits, som övning visar, är detta inte ett hinder.
Dessa program vet hur typiska inmatningspunkter på registreringssidorna i olika forummotorer ser ut. Kunskap Detta är baserat på att erkänna DOM-modeller av webbplatser som innehåller formulär för att registrera nya användare, för att skicka meddelanden och så vidare. Det är till exempel i fallet med PHPBB, vet roboten att ingångspunkten för registrering finns på /ucp.php?mode\u003dregister och att den här sidan har en typknapp:
Utan att gå till B. tekniska detaljerJag noterar att du kan hitta och klicka på den här knappen i HTML-dokumentet, du kan redan åtminstone med ID eller namn.
Så snart roboten kommer till sidan med captcha får han en cappingbild och försöker känna igen det. Det kan tillämpas olika tekniker, beroende på programmets sofistikering, från OCR-algoritmer till enkla cappingigenkänningar av en levande person. Det är därför att skydd inte fungerar. Ban IP-adresser på forumet är också absolut värdelös, som robotarna spam genom den många proxyservern. I den meningen är det ingen skillnad mellan bankadresserna eller rengör Nya Autorecistration, allt är på något sätt reducerat till förlust av tid.
Det visar sig att det enda sättet att skära av auktionsbollarna är lite modifierad markering av ingångspunkten på forumet ett unikt sätt. För två eller tre år sedan för phpBB2 gjorde jag ett sådant fokus och det fungerade - den automatiska registreringen slutade. De senast lyckades bekräfta på en annan webbplats, redan på motorn på phpBB3.
Därefter kommer jag att ge ett specifikt verifierat exempel på modifiering av PHPBB-registreringssidan. Men jag skulle vilja göra en reservation att detta inlägg erbjuder begreppet skydd mot automatiska registreringar på forumet, och inte specifika sätt. Allt beror på händerna och huvudet på forumadministratören. Det är lämpligt att ha grundläggande kunskaper om HTML och CSS. Om läsare börjar snabbt kopiera den här metoden, då kommer denna "heuristiska" spammare att programmeras till deras programvara och automatisk registrering fortsätter.
Så, att välja PHPBB-inställningarna Forum den enklaste CAPTHA CAPTCH utan GD.
Ser ut i webbläsaren (FF3) det är:
Om du tittar på markeringen av registreringssidan i bilden från CAPTCHA, ser det ut så här:
Faktiskt src attribut i iMG-tagg och innehåller en bild med bildtext. Öppna folistan med det aktuella temat som är installerat på forumet. I mitt fall är det Prosilver: / Forum / Styles / Prosilver / Mall. I det hittar vi captcha_default.html-filen. Om du tittar på den här mallen är det synligt en plats där den ovan nämnda markupen bildas:
Lätt tv komplicera livet till AutosBrumitters:
Det kommer att se i webbläsaren nu så:
Jag håller med, inte mycket vacker, men nerverna i administratören kommer nu att vara i ordning. Konventionella användare kan fortfarande registrera sig. Naturligtvis, när du uppgraderar motorn på mer ny version Det kommer att bli nödvändigt att inte glömma att göra det här igen. Jag hoppas att de modiga-phpbb-användare inte kommer att bo på detta exempel, Och kom med andra sätt att ändra ingångspunkten enligt det föreslagna skyddskonceptet.
I den här artikeln vill jag överväga flera kända metoder för att skydda innehållet på webbplatsen från automatisk analysering. Var och en av dem har sina fördelar och nackdelar, så du måste välja mellan en viss situation. Dessutom är ingen av dessa metoder en panacea och nästan alla har sina sätt att kringgå, som jag också nämner.
1. Förbud mot IP-adress
Det enklaste och vanligaste sättet att bestämma försöken från webbplatsens analys är analysen av frekvensen och frekvensen av förfrågningar till servern. Om det finns för många förfrågningar från någon IP-adress eller för mycket av dem, är den här adressen blockerad och för att låsa upp det är ofta föreslagits för att komma in i captcha.
Det viktigaste i denna skyddsmetod är att hitta gränsen mellan den naturliga frekvensen och antalet förfrågningar och skrapförsök för att inte blockera någonting utan vinanvändare. Detta bestäms vanligen genom att analysera beteendet hos normala användare av webbplatsen.
Ett exempel på att använda den här metoden kan vara Google, som styr antalet förfrågningar från en specifik adress och ger lämplig varning för att blockera IP-adressen och förslaget för att komma in i CAPTCHA.
Det finns tjänster (som distilnetworks.com), som gör att du kan automatisera spårningsprocessen med misstänkt aktivitet på din webbplats och även inkludera användarkontrollen med captchi.
Omgå detta skydd utförs genom att använda flera proxyservrar som döljer den reella IP-adressen till parsern. Exempelvis ger BestProxyandvpn-tjänster billig proxy, och omkopplingsproxi-tjänsten är om än dyrare, men det är speciellt utformat för automatiska parsers och låter dig klara tunga laster.
2. Använda konton
I denna metod görs dataåtkomst endast av auktoriserade användare. Detta gör det enkelt att styra användarbeteendet och blockera misstänkta konton, oavsett vilken kunden fungerar från vilken IP-adress.
Ett exempel är Facebook, aktivt kontrollerar användaråtgärder och blockerar misstänkta.
Detta skydd görs genom att skapa (inklusive automatiska) flera konton (det finns även tjänster som handlas färdiga konton för kända sociala nätverk, till exempel köpaccs.com och bulkaccounts.com). I allmänhet komplikation automatisk skapelse Konton kan vara behovet av att verifiera ett konto via telefon med en verifiering av det unika (så kallade PVA-telefonen verifierade konto). Men i princip är detta också bypass genom att köpa en mängd engångs SIM-kort.
3. Använda CAPTCHA
Detta är också en vanlig metod för att skydda analysdata. Här är användaren att komma åt den här webbplatsen inbjuden att komma in i Capcha. Väsentlig nackdel Denna metod kan betraktas som användarens olägenhet i behovet av att komma in i kepsar. Därför tillämpas denna metod bäst i system där dataåtkomst utförs av separata förfrågningar och inte så ofta.
Ett exempel på att använda capping för att skydda mot automatisk skapande av förfrågningar kan tjäna tjänster för att kontrollera platspositionen i sökresultat (Till exempel http://smallseotools.com/keyword-position :).
Fånga genom program och tjänster för sitt erkännande. De är uppdelade i två huvudkategorier: automatiskt erkännande Utan mänskligt deltagande (OCR, till exempel GSA CAPTCHA Breaker-programmet) och erkännandet med en person (när människor sitter i Indien och online hanteringsförfrågningar om erkännande av bilder, till exempel, kan en bypass captcha service tjäna. Mänskligt erkännande är vanligtvis effektivare, men betalning i det här fallet Det händer för varje capping, och mer än en gång, som när man köper ett program.
4. Använda komplex javascript logik
Här i frågan till servern skickar webbläsaren specialkod (eller flera koder) som bildas komplex logik Skriven på JavsScript. Samtidigt beskrivs ofta koden för den här logiken och placeras i en eller flera JavaScript-filer.
Ett typiskt exempel på att använda denna parsingskyddsmetod är Facebook.
Det kostar det genom att använda reell webbläsarparsing (till exempel med hjälp av selen eller mekanisera bibliotek). Men det ger den här metoden Ytterligare fördel: utför JavaScript-parser. kommer att manifestera sig i analytikerens närvaro på webbplatsen (till exempel Google Analytics.), Vad gör det möjligt för webmaster att omedelbart märka någonting.
5. Dynamisk förändring av sidstrukturen
En av effektiva sätt Skydd mot automatisk parsing är frekvent förändring Sidstrukturer. Det kan inte bara handla om ändringen av namnen på identifierarna och klasserna, men även elementets hierarki. Det komplicerar kraftigt skriften av parser, men komplicerar å andra sidan koden för systemet själv.
Å andra sidan kan dessa ändringar göras i manuellt läge En gång varje månad (eller några månader). Detta kommer också i huvudsak att förstöra parsers liv.
För att kringgå ett sådant skydd krävs det att skapa en mer flexibel och smart parser eller (om ändringar görs inte ofta) bara manuellt fixar parsern när dessa ändringar inträffade.
6. Begränsning av frekvensen av förfrågningar och volymer av nedladdningsbara data
Det låter dig göra en parsing stort antal Data är mycket långsam och därför olämpligt. Samtidigt är restriktioner nödvändiga för att välja mellan behoven hos en typisk användare, för att inte minska webbplatsens övergripande användbarhet.
Detta kostar det genom att komma åt webbplatsen från olika IP-adresser eller konton (simulering av många användare).
7. Visar viktiga data i form av bilder
Denna metod för skydd av innehåll gör det möjligt att komplicera automatisk datainsamling, samtidigt som visuell åtkomst till dem från vanlig användare. Ofta ersätts adresserna e-post och telefoner, men vissa webbplatser lyckas ersätta bilderna jämnt tillfälliga bokstäver i texten. Även om inget stör med helt utmatning av innehållet på platsen i form av grafik (oavsett flash eller HTML 5), kan det emellertid påverka sökmotorns indexförmåga avsevärt.
Minus av denna metod är inte bara att inte allt innehåll är indexerat av sökmotorerna, men också att användaren elimineras för att kopiera data till urklippet.
Detta skydd kostar det svårt, troligtvis måste du tillämpa automatiskt eller manuellt erkännande av bilder, som i fallet med CAPP.
Robert Basirov
Lektionens komplexitet:
4 nivå - Det är svårt, det är skyldigt att fokusera, uppmärksamma detaljerna och exakta följande instruktioner.
Ej tillgänglig i redaktörerna:
Inga begränsningar
Flera sätt att bekämpa automatiska kontroller av bots.
Lägg till ett osynligt fält till registreringsformuläret och göm det med med hjälp av CSS.. Dölj med beaktande av det faktum att de särskilda avancerade botsna är avskrivna av displayen: ingen. Det osynliga fältet måste kallas på något sätt attraktivt för bots i samband med innehållet på webbplatsen: Företaget, Telefon. Till det här fältet kan du sätta ett tecken * - Bot beslutar att utan att fylla i det, kommer formuläret inte att gå.
Följt av följa programförhållandeatt om det här fältet är fyllt, blockera användaren eller returnera det samma svar som vid framgångsrik registrering.
Ett annat alternativ: Skapa namnfältet. För bot kommer det att vara standard, för användare som ringde dig, och när du registrerar ändringar. Registreringsalgoritmen ändras inte, boten kommer fortfarande att gå in i fältet "Namn (Standard)" och inte registrera dig.
IP-skydd |
för det första, det finns en chans att skära av enkel man som:
- han har en proxy med den här IP,
- fick en dynamisk IP som finns i databasen (mycket låg sannolikhet),
- en person som av misstag faller i databasen.
För det andra, Dessa IP-adresser är tusentals och tiotusentals och de är inte lämpliga att effektivt hantera. Det är meningslöst att röra med dem för bots skull, det är mycket lättare att använda icke-standard tekniker för att skydda mot automatisk registrering. Dessutom finns det redan på flera specialiserade forum, ingen konto registreringstjänst, men med IP riktiga människor. Tydligen används botnets.
Organisatoriska skyddsåtgärder |
Det här alternativet är möjligt: \u200b\u200banvändaren efter registrering faller in i gruppen Nybörjare Med minimala rättigheter. Han kan bara fylla i profilen och svara på forumet. Personliga meddelanden, länkinställning, lägger till filer, öppning nytt ämne Och då är han förbjuden. Så snart han lämnar meddelanden på forumet (för att välja en administratör) går den in i en grupp registrerade användaresom har grundläggande användarrättigheter.
Du kan skapa en grupp Aktiva användareDet kommer att ha en utökad uppsättning rättigheter och användaren kommer dit efter set m-meddelanden.
Vanlig b Bitrix Framework. Detta kommer inte att genomföras, vissa förädling behövs. Ett exempel på en möjlig kod:
// När du lägger till ett forummeddelande, om antalet meddelanden är mer fls_num_posts, // då kommer vi att tilldela en användare till en speciell grupp definiera ("FLS_NUM_POSTS", 50); Definiera ("FLS_FORUM_GROUP", 27); AddEventHandler ("Forum", "OneafterMessageAdd", "FLSKOSFORUMMESSAGEADD"); Funktion FLSKorummessagAdd ($ ID, $ arfields) ($ argroups \u003d cuur :: getusergroup ($ arfields ["authers_id"]); om (! In_array (fls_forum_group, $ argroups)) ($ arprofile \u003d cforumuser :: getbyuser_id ($ arfields [ "Authers_id"]); Om (intval ($ arprofile ["num_posts"])\u003e \u003d fls_num_posts-1) (// Lägg till i $ argroups \u003d fls_forum_group; // vi skriver ny grupp Cuser :: setusergroup ($ arfields ["author_id"], $ argroups); // Uppdateringssession nuvarande användaren Om ($ globals ["user"] -\u003e getID () \u003d\u003d $ arfields ["author_id"]) cuur :: setuergrouparray ($ argroups); ))))
Eftersom organisatoriska åtgärder kan lämnas:
När du använder organisatoriska åtgärder kan vara en användbar modulatormodul, som låter dig göra varningar och uppmuntra användare, blockera användare på webbplatsen och forumet, dölja och ta bort meddelanden specifik användare och mycket mer.
Det mest "tunga" sättet. Inte i plan tekniskt genomförande, och i form av bekvämlighet för användarna. Kärnan är enkel: registrering av registrering i flera steg.
Sådan registrering kan godkännas endast speciellt skrivet under de specifika projektbotsna. Endera manualen, mänsklig registrering görs med den efterföljande överföringen av kontot för kontroll av bots.
Det finns ett mjukare alternativ när godkännandet sker i ett skede, men i slutet är användarna inbjudna att slutföra tillstånd genom att fylla i några andra områden. Du kan logga in för att behörisera på webbplatsen omedelbart, efter att ha fyllt i det lägsta av de obligatoriska fälten. Och låt dem använda webbplatsen. Men de av dem som inte har fullgjort godkännande (det vill säga att de inte fyllde de fält som de bad att fylla) faller under misstanke om att de är bots. I framtiden kan de avlägsnas eller begränsas i rättigheter (placeras i en grupp misstänkt) tills de fyller.
Och jag kommer att presentera dig en av de nödvändiga plugins (förlängningar), nämligen medel för site Protection från Spam. Specifikt kommer det att handla om Plugina Keycaptcha..
Det är känt att för närvarande spam (Obehöriga sändande brev till e-post, kommentarer på webbplatsen eller inte relaterad till ämnet diskussioner om inlägg på forumet som bär den främsta annonseringsteckenet) och automatisk registrering på webbplatser och forum har spridit så mycket att epidemins natur har förvärvat. Dessutom är detta arbete tilldelat speciellt utvecklade program - Bots.
För att skydda mot detta har speciella medel utvecklats för att eliminera sådana bots och se till att åtgärderna utför en riktig maninte automatiskt. Naturligtvis leder hackare ett motverksamhet för att förbättra bots intellekt och ständigt går en slags tävling - vem.
Ett av dessa medel är (captcha). Detta är en förkortning från de engelska orden "helt automatiskt offentligt turingtest för att berätta för datorer och människor ifrån varandra" - översatt helt automatiskt test av turning för att skilja datorer och människor. Med andra ord är detta en uppgift som en person lätt löser, men det är omöjligt (eller extremt svårt) att undervisa att lösa datorn.
CAPTCHA används för att förhindra flera automatiska registrering och skicka meddelanden till robotprogram. Det vill säga, CAPTCHA-uppgiften är att skydda mot spam, översvämning och fångstkonton.
Oftast ser CAPTCHA ut som en klar brus slumpmässigt nummer, Word eller annan inskription som presenteras i form av bilden som användaren behöver läsas och ange ett läsresultat, till exempel en standard captcha i Joomla.
För närvarande är en av de nya och svåraste att gå runt bots pluginDen är utformad för flera vanligaste (CMS), som Joomla, Drupal, Wordpress och VBulletin, SMF, IPB, PHPBB och andra PHP-platser.
Som nämnts är vanligtvis capps baserade på att gissa förvrängda textsymbolerpresenteras förutom inte texten, men en bild. Däremot erbjuder Keycaptcha besökare utföra en enkel interaktiv uppgift. Bygg antingen bilder från fragment (pussel), eller söker efter par på ämnet för bilden.
Det ser ut så här:
För felaktigt beslut KeyCaptcha uppdaterar inte sidan, vilket gör det möjligt för användaren att inte fylla i formulärfälten igen. Detta uppnås genom att skicka en querizationsförfrågan till Keycaptcha-servern innan du skickar den färdiga formuläret till den skyddade webbservern.
Samla en bild Man är inte svår eftersom absolut passande noggrannhet är helt nödvändig, det är nog att samla sig i sant.
Pålitlighet Arbetet säkerställs av följande åtgärder.
- För att arbeta Keycaptcha används ett GEO-kluster, som inkluderar servrar som ligger i olika datacenter i Europa. En del av servrarna är i särskilda DDOS hållbara schweiziska datacenter, vilket garanterar tillförlitlig service i 24x7x365.
- Keycaptcha blockerar spammare med anonymizers eller anonyma http-proxies för att skicka handspam.
- I besökarens webbläsare finns det ingen information om rätt känsla av Capcha.
- Kontroll av uppgiften av uppgiften förekommer på keycaptcha-servern.
- All dataöverföring mellan din webbserver, en besökare webbläsare och keycaptcha-server skyddas av en digital signatur.
- Varje nytt meddelande till keycaptcha-servern antingen på din webbserver spenderas på korrekthet. digital signatur.
- Vid generering av en digital signatur används en lösenordsvariabel längd (112-165 bitar).
- KeyCaptcha representerar programkod, exekverad i en besökare webbläsare, inte en statisk bild, som i vanliga kepsar.
- Efter att ha fått vår CAPTCHA är det omöjligt att överföra den till tredje part för att uppfylla uppgiften, eftersom spammare gör, kringgå vanliga kepsar.
- Sannolikheten att gissa svaret, som lägger de rörliga föremålen slumpmässigt, är lika med 1 / 30.000.000.
- Bilder som används i kepsar sänds i krypterad form.
KeyCaptcha stöder två driftsätt: Flash och HTML5. HTML5-läget ger KeyCaptcha arbete i de flesta moderna webbläsare, Till exempel Mozilla Firefox., Google Chrome., Safari, liksom att arbeta på iPhone och iPad. Flash-läge är utformat för att fungera i webbläsare Internet Explorer. Och opera. När du laddar KeyCaptcha bestämmer du automatiskt läget för sitt arbete beroende på besökarnas webbläsare.
Denna CAPTCHA ansökte till Joomla, enligt utvecklingen av utvecklare (kontrollerade inte sig), stöder följande populära förlängningar: JCOMMENT, YVCOMMENT, K2 Kommentarer, Jxted kommentarer, Virtuemart, Gemenskapsbyggare, Jomsocial, Alpharagistration, K2 Registrering, DFContact, AlfContact, Phoca gästbok, Easybook Reloaded, Flexicontact, Joomladonation, Chronoforms, AdsManager, Qcontacts, Job Board, Mosets Tree, Hikashop, JWHMCS Integrator.
Förutom denna stift för Joomla skyddar standardformulär Joomla: Registrering, kontakta oss, återställ Lösenord och. Påminn användarnamn.
För att ladda ner plugin och få möjlighet att arbeta med det gratis registrering På webbplatsen https://www.keycaptcha.com/. Du anger vilka webbplatser som ska använda plugin, ange typen av CMS och dess version och få en nedladdningslänk och specifikt för dig unik personlig den hemliga nyckeln och skriptkod. Dessa data sätter in parametrarna för plugin-in när den är aktiverad.
Det är allt idag.
För att inte missa något publicerat material du kan prenumerera på en avRSS-band: Alla webbplatsnyheter, nyheter av "Tales of the Old Jouzer" eller nyheterna om avsnittet "The World of Android".
Diskussion om denna artikel kan utföras i