Система Вопрос-Ответ для защиты от ботов

В пожелания добавил предложение внедрить в diafan.CMS систему защиты от спам-ботов "Вопрос-ответ".

Любому, у кого есть посещаемые сайты, известно, что Каптча и реКаптча изжили себя лет 5 назад (к примеру, октябрь 2008 года, когда на форумах и сайтах за ночь начали появляться по нескольку сотен и тысяч комментариев ботов. Админы и модераторы тогда проклинали все на свете. Начали массово внедрять реКапча. В итоге добились лишь того, что люди не могли регистрироваться и комментировать, а боты (они по происхождению "англичане"), читали код только в путь и продолжали безобразие чинить!

С тех пор выдумано много типов защиты, в основной массе зависимые от чужих сервисов, типа КейКапча и т.п. мусора.

За все годы лучше всего показала себя система "Вопрос-Ответ":
- не надо никаких чужих сервисов
- степень защищенности зависит от самого админа, какой сложности пару вопрос-ответ придумает, настолько и будет защищен от ботов (или от людей, не понимающих язык, допустим, написать на русском - китайцы отсекаются моментально! Или пусть учат русский ).
- для реальной, нормальной защиты достаточно одновременно держать 1 или 2 вопроса.

Кроме того, следует учесть, сейчас спамеры начали хитрить. Они создают учетку и затихают. А потом начинают спамить в личку другим пользователям. Об этом админ узнает само собой самым последним, только по жалобам простых пользователей (нормальный бот не будет посылать спам в личку админа!).
Поэтому, кто сидит на нынешней защите, со временем, будете сильно удивлены - вроде было тихо, никаких спамеров (ну, кто-то регистрируется, наверно нормальный чел?), а потом бах! Начинается!

Да, человеку, который только создает сайты другим, а на его сайт в день приходит по 3 посетителя, конечно проблем не имеет.
Но ведь нужно думать не только о себе, надо думать и о тех, для кого создаем сайты!

Ведь рано или поздно сайты, созданные на diafan.CMS тоже станут посещаемыми, и там, как всегда, в авральном режиме, с выпученными глазами, будем решать что делать!

В общем, прошу вникнуть в суть необходимости усиленной защиты от ботов:
- при регистрации
- при оставлении комментариев
- при отправке сообщения через форму обратной связи
- при отправке личного сообщения.
- добавлении статей и т.п. (но это уже не обязательно).
И чтобы для каждой группы пользователей можно было сделать систему вопрос-ответ отключаемой индивидуально!!!

В моих пожеланиях, один из активных участников этого форума написал "Пожалейте своих пользователей!".
Мои пользователи никаких кодов безопасности не вводят. Защита стоит от посетителей в ранге гостя!

Ага берём покупаем килограм конфет "Детям". Садимся утром чай пить и учим загадку .

Пользователей своих пожалейте.

Если про "пожалейте пользователей" ко мне, вот, зарегистрируйтесь, авторизуйтес и попробуйте оставить комментарий вот на этом моем сайте (DLE): http://tolstiki.ru

Будут у Вас проблемы?

Можете повторить то же самое на форуме этого сайта (стоит IPB, нужна отдельная регистрация).

Чем код безопасности может мешать авторизованным пользователям?

Одно время боты сильно достали, и действительно помогла функция вопрос-ответ. Форум vBulletin

Интересно почему такие "отсталые системы" как google и yandex webmoney до сих пор используют каптчу.
ответ очевиден, брутфорсом не пройти. вариантов множество, сменить алгоритм формирования каптчи не составит труда, в то время, как разгадывать сложнее.
Хоть я года 4 назад занимался написанием автоматизационных систем, интересные варианты, защиты от спама были: повернуть картинку, составить картинку.., нажать на зелёный квадрат/синий...кошечек, собачек и т.д. Моё личное мнение они получше,полегче вопросов/ответов для регистрации.

BeBrain говорит к тому, что для того, чтобы авторизоваться на форуме..., придётся гуглить. К тому же ответ должен быть дан в той же форме, так что иногда и google не спасёт и пользователю ответившему правильно, реакция на правильный, но не защитанный ввод у него будет по агрессивнее неправильного ввода каптчи .

Минусы:
* легко подбирается. трудозатраты на взлом намного меньше, трудозатрат на реализацию(нужно ввести и вопрос и ответ).
* нужно вводить в той же словоформе, и без ошибок, описок.
* ответ может не знать человек.
* если сравнивать с каптчей, то для ответа нужно больше времени на ввод.
* легко взламывается при желании.(скажем за 10 лет вы составили 1200 вопросов), я подберу их часов за 6...ну максимум за день, вы составляли их 10 лет. Кстати мне не обязательно все ответы подбирать. Так что в этой системе даже 10000 вопросов/ответов мало будет.

Плюсы:
* можно реализовать лёгкую проверку.
* защита от китайцев.

У меня в аське стоит такой антиспам, надо ввести всего лишь плюсик....однако спам через это не может пройти.
Т.е. в основном, вопросы/ответы это не защита от хакера, это защита от автоматики(уже написанных программ для известных систем), вот почему проходила такая фишка, как поставьте галочку если вы не робот.

В общем если разработчикам нечем заняться, можно внедрить и другие системы защиты. Думаю это будет полезно для пользователей.

Илья, у Вас взгляд программиста, а не владельца сайта. Вы еще не видели спамеров.

кстати от китайцев она тоже особо не защитит, если захотеть то можно использовать автоматизированный переводчик......а уж китайцы то покроют и миллиард вопросов/ответов

Илья, Вы тоже думаете, чтобы при авторизации ставить капчу? Зачем????

Ее обычные админы сайтов ставят:
- на регистрацию
- восстановление пароля
- отправку комментов в обсуждениях
- отправку сообщения через форму обратной связи

Все это делается ДЛЯ ГОСТЕЙ, а не для авторизованных пользователей.
Хотя, допустим, DLE позволяет дифференцированно распределять права, в том числе когда, в каких ситуациях какую защиту применить. Для каждой группы раздельно.

Какие-то неверные представления у вас, господа про защиту от ботов. Однозначно нет практики эксплуатации сайтов (программерские блоги на Вордпресс не в счет). И нет представления, что такое сайт для посетителей, и чем он для зарегистрированных пользователей отличается от для гостей.

Проблема важная, и как оказалось, мало кто из создателей сайтов на diafan.CMS представляет что такое спам-боты, и чем чреваты их действия. В связи с этим, создал тему для обсуждения.

Из всех разработчиков видимо только Евгений содержал настоящий форум. Остальные просто не понимают что такое "сайт для людей" .

В моих пожеланиях еще один разработчик отписался, что

Зачем ставить еще какую-то защиту на авторизацию?

Вот, в пожеланиях, Илья написал целый талмуд о том как он ловко раскусит все ответы к вопросам, созданным мной за 10 лет. Но его плюсик в аське никто не пройдет. Молодец! Но смысл защиты и когда защита от ботов применяется, он не понял.
Эх... народ...
Про людёв надо думать хоть изредка, а не только про код..

Илья, конечно же для Вас придумать вопрос и ответ очень сложно. Вижу. Чувствую. И почти понимаю. Поэтому Вам кажется что ботам легче разгадать ответы, чем людям создать их.

Я рассмотрел не только как программиста, но и с точки зрения обычного пользователя системы, а именно удобство использования(usability) и я встречался с данной системой как пользователь.

Кстати если обратите внимание, уже два пользователя отписалась против вашей системы при регистрации(вопросов/ответов).
За данную идею словами никто больше не высказался.


И да согласен, владелец сайта, делает сайт в первую очередь для себя, а не для пользователей. Я такое не поддерживаю. Видел разное. Например: для покупки товара, заказчик захотел регистрацию и при нажатии купить, клиенту выдавалось полотно для регистрации, и только после регистрации он смог там что-то приобретать..... по моему не удобно, заказчик был другого мнения. Это не единичный случай. Вариантов много....

Илья, сходите и попробуйте комментировать вот в этой статье, сложно ответить человеку?

Заодно посмотрите, есть ли там при авторизации капча или еще какая-то защита кроме логина и пароля.

Можете смеяться и не верить, там один из вопросов торчит полтора года, а второй с весны прошлого года
Ни одного бота! Ни русского, ни китайского. А ведь было время (когда на DLE не было В-О), за ночь набиралось до сотни спам-учеток! не заходил в админку дня три, и сидишь, и удаляешь за раз по 50 штук .
Одна знакомая прохлопала, набрала более 6 тыс учеток!!! А ведь нужно не просто удалять, еще надо смотреть чтобы нормального юзверя не почикать!

В то же время каждый день удаляю 4-5 регистраций ботов с сайтов на БУС (на диафане у меня нет своих сайтов для общения, делаю только для клиентов), а в январе-феврале (подом куда-то пропали, устали видать) в сутки могли зарегистрироваться до 50 ботов на сайтах с посещаемостью 20-30 в сутки.

Вот почему и не делаю сайты для себя на диафан.

На форуме поддержки DLE 1.5 года назад поднял данную проблему. Меня поддержали сотни человек, и уже в ближайшем релизе система Вопрос-ответ была из каробки.

Здесь видать не будет. И останется диафану быть только сайтом-визиткой и магазином. Как портал общения - не годится. Но он вроде и не собирается эту нишу занимать?

В связи с развалом русского реселлера IPB, очень много народа ушли или хотят уйти с IPB. Вот бы альтернатива из diafan.CMS.. Но видать нереально.

Какой движок станет альтернативой IPB, тот станет народным на русскоязычной территории.

очень сложно, практически наугад.

итак.
Вопрос:
Что чаще всего советуют полному человеку для улучшения фигуры?

какой из них правильный? :)))
бегать
много двигаться
заняться спортом
меньше есть
диета
диеты
правильное питание
правильный распорядок дня
и т.д.

ИТОГО: данные ответы могут ввести только пользователи, уже пробовавшие отвечать и теперь знающие ответ, который система примет за правильный. Причём непонятно откуда вы собирали статистику по данному вопросу, и на сколько она соответствует действительности. Данный пользователь, может быть спамер/хакер и за 10-30 минут заспамить ваш сайт, под завязку .

Разные способы защиты нужны, но считаю вопрос/ответ не лучшим решением, но и не худшим. Одним из плюсов он может отсеивать поль-ей не знающих темы.
Но минусы по-моему перевешивают.

ИМХО моё личное мнение как пользователя.

Мдааа... Мои фиралсеры вообще без проблем отвечают, когда пишут гостями. А Вы столько энергии и время потратили, такой мощный мозговой штурм

в общем-то ясно, почему у меня студенты не спамят. Они не знаю как ответить на этот вопрос

Ответ: похудеть

Какой я вопрос придумал

Илья, ваша проблема в том, что Вы - слишком умный (в хорошем смысле, но слишком много хорошо, тоже не есть хорошо ). Надо быть проще. На этом, наверно прекратим на сегодня, ладно? Апать будем завтра, ладно, Илья?

А вообще спасибо, что откликнулись, очень был раз беседовать с Вами.
Сознаюсь, хоть мне и немало лет, но всегда с удовольствием общаюсь с молодежью. Молодежь заряжает энергией. Спасибо!

Тфу, не так "Мои фиралсеры", а надо было "Мои фрилансеры".

давно уже не студент, специалист, ахаха.... приходите вы к диетологу и говорите:
Посоветуйте мне как полному человеку, что-нибудь для улучшения фигуры?

ответ диетолога - худейте.

лол что :))))

На самом деле, для улучшения фигуры надо спортом заниматься, и здоровый образ жизни и питание, а вот похудение как раз не всем идёт для фигуры и не всем будет полезно для здоровья.
Соответственно ваш ответ не соответствует действительности, он не верен по определению, это просто анекдот, аля угадайка.

и варианты могли быть..., худеть, сбросить жир, скинуть вес ..и т.д.


--


ну я уже тоже знаю этот ответ, он часто попадается.
Увольте своих фрилансеров, может у вас увеличиваться посещаемость, и живость на форуме.

коротко:

подробно:

Это о чём мы говорили, вы не цените пользователей. Их время...., не надо усложнять обратную связь с пользователями, это же ваши посетители. А не оставлять посетителей, которые не знают простых вещей, таких, как здоровый образ жизни. Её надо упрощать, по возможности в один клик.
А то и меньше, у гугла была как-то технология оценки поль-ля по тому как он вводит данные, формировались его действия(движения мышки, нажатия кнопок, время ввода текста), на этом формировался код. ВОТ с чего надо брать пример!!


ну и по теме.
---------------------Безопасно и минимально в изменениях.------
Можно вывести параметры каптчи в настройки, таким образом увеличив защиту от подбора каптчи diafan CMS.
Допустим при увеличении/появлении спама, каждый поль-ль может защитить себя сменив всего лишь подложку, или цвет букв, стиль и т.д.

Это будет лучше, чем вводить 1000 новых, вопросов/ответов. при взломе.

Валерий, по ссылке http://tolstiki.ru/2010/01/26/zachem-muzhchine-nuzhna-zhenschina.html там и вопрос и каптча. Надо две заполнить, чтобы ответить? :)
На самом, вопрос-ответ - тоже не панацея, ибо спамеры получают ответ однажды, вбивают в прогу себе и она его шпарит автоматически. Тем более, если ответов всего один-два.

recaptcha - это тяжело для пользователя, она меня лично тоже бесит. Но и вопрос-ответ тоже не идеал. Я кстати, на вопрос про толстого человека ответил бы "не есть"

Я думаю, что самая удобная каптча - которая проходится мышкой, без клавиатуры. Что-то подвинуть, например, ползунки, или расставить пять галочек, или совместить две линии. Мы на эту тему уже с прошлой версии думаем. Типа http://www.webdesignbeach.com/beachbar/ajax-fancy-captcha-jquery-plugin

Да да да! Только хотел предложить!

Отличная идея, Виталий! Искренне желаю, чтобы эти мысли поскорее воплотились :)

Илья, зря вы так. Вопрос-ответ действительно помогает. Как главный редактор СМИ говорю. После того как отказались от каптчи, жалобы от редакторов прекратились. Совсем. Была также идея подгрузки кода через JS из внешнего файла, но этого не понадобилось.
В любом случае реализовать это предложение проще, нежели заморочки с мышкой, которыми ещё неизвестно как будут пользоваться пользователи мобильной версии, активные комментаторы ресурса.

Почему зря? я считаю, что этот способ малоэффективен против целенаправленной атаки спамера/хакера, к тому же минусы существенные. Жалобы прекратились, а на сколько уменьшилось кол-во комментариев проводилась статистика?. Мы прямо тут эксперимент провели с вопросом.

По моему проще с мышкой решение интегрировать решение благо готовых решений полно, просто вставив нужный js код, чем писать добавлять таблицу и писать модельки, контроллеры, вьюхи ради сомнительного удовольствия.

Там смысл не в мышке, а в том, что используется js код. Который эмулировать сложнее, да и затратно, post/get запросы проще отправлять. Мобильники сейчас такие современные, что с js скрипты умеют выполнять не хуже компьютера. С перетаскиванием, да осторожно надо. Наверно нажатие на изображение на какой-то объект нарисованный больше подойдёт, меньше кроссбраузерной мути.

По поводу кроссбраузерной мути вы бы тут высказались .
С вопрос-ответом и проще и сложнее. Если ресурс не мега популярный, такой защиты за глаза хватает, а против целенаправленной атаки спамера/хакера ничто не спасёт.

Вопросы/ответы орешки для спамера.
И минус существенный, это нельзя людей приравнивать к машине, и считать, что ответ будет одинаковый на один и тот же вопрос. Плюс сюда могу дописать если так будет понятнее, люди с нестандартным мышлением из трёх предложенных вариантов выбирают четвёртый. Тут не будут предлагаться варианты, как вы думаете людей с нестандартными ответами будет больше, чем нестандартных людей?. По вашему что люди должны отвечать одинаково?...они что одноклеточные существа ???? да и описки, ошибки тоже минус существенный. :)))))))

-----

Там всё уже написали за меня. Если моё мнение интересно я за адаптивную вёрстку. Нужна ли отдельно мобильная вёрстка?....я не встречался с таким, видимо дело в цене, это практически новая вёрстка, считаю, что человек который её будет делать способен решить вопрос о создании мобильной версии сайта самостоятельно. Будет в коробке diafan, ну однозначно +.

Ваше мнение в той теме публикуйте ))
Какие еще варианты?
"это вопрос":
Поле для ответа. (ручками написать несколько букв)
Все. О чем говорить? Вам пишут что проверяли, работает, реализация не трудная, почему бы не попробовать- вы про мифические сложности. Кому-то лень задницу поднять, мусор до контейнера донести, в окно кидает, это ведь не значит что на данного пациента должна ориентироваться служба по вывозу мусора, а маркетологи местного ЖЕКа переживать о падении целевой аудитории

Евгений, благодарю за поддержку!
1. К сожалению, среди разработчиков, использующих diafan.CMS очень мало народа содержащих сайты, где общаются люди. Часто, для массового привлечения участников, приходится разрешать писать сообщения гостям. Вот этого народ попросту не понимает нутром, т.к. не был в шкуре владельца популярного сайта.
2. Пока диафаном не начнут заменять вордпресс, о достаточной популярности диафана говорить, мягко говоря, преждевременно.

3. Теперь далее. Вот, никто не смог ответить (на этом сайте) на мой вопрос:
Что чаще всего советуют полному человеку для улучшения фигуры?
Женщины, участвующие в работе моего сайта, отвечают с ходу правильно, вообще не задумываясь!!!
Почему? Да потому-что:
- они знают русский язык, т.к. обучались в советских школах. Сейчас в школах с этим дурацким (ЕгЭ или как там его?) народ перестал изучать, а начал запоминать варианты ответа.
Пример тому - вот как Илья начал бодро перечислять "варианты" ответа на вопрос. Это для него привычно. А для человека, закончившего советскую школу (они и есть постоянные участники моего сайта) есть только единственный и простой правильный ответ.
- Молодежь! Прошу не обижаться! В вашем "западном" образовании не вы виноваты... Это общая беда.

4. Выше Виталий говорит, что .
Виталий, пусть вбивают! Мне то какая разница????????? Мне что, сложно заменить 2 вопроса? (даже не буду гадать, на каком из них пробили!).
Господа, вы что??? Неужели так сложно чуток подумать головой??? И придумать пару новых вопросов???
Вот те раз!!!

5. Никто по ссылке не догадался проверить второй вариант вопроса
Друзья! Если не хватило сил ответить на первый вопрос, чего же не догадались посмотреть второй вопрос???
Повторяю - вопросы не менял давно. Теперь, после раскрытия секрета, конечно придется заменить. Однозначно кто-то уже забил (я не строю иллюзий, тут тоже ползают владельцы ломанных хрумеров) в свою прогу мой ответ. Скоро проверим, есть здесь на сайте зараза или нет

6. Виталий пишет:
Вот тут ничего не поделать. Простую каптчу совсем отключить нельзя. Нет такой опции. Хотя просили, но разработчик не стал делать. увы.
Но в общем-то оно и не мешает. Люди нормально читают с той каптчи (боты тоже).

7. Виталий пишет:

Возможно удобная. Но зачем придумывать сложности? Ведь достаточно более простого решения, а именно Вопрос-Ответ, и чтобы не зависеть от чужих сервисов!!!

Внимательно посмотрел, оказывается в последних версиях можно коптчу отключить, оставить только вопросы. Вот, посмотрите как настраивается защита от ботов для группы "Пользователи" (точно так же и для других групп, в том числе и для группы "Гости"):




Илья пишет:

Илья, успокойтесь уже! Включите Вы для авторизованных пользователей защиту или нет - это зависит от Вас как от владельца сайта!!!

Илья пишет:

Еще раз для тех "кто в танке":

- различайте "спамера-человека" и "спамера-бота". Система Вопрос-Ответ предназначена для защиты от ботов, а не людей!
- сложность вопроса задается владельцем сайта! Хотите простой вопрос, задайте простой, допустим "впишите слово солнце", хотите чуток сложнее, сделайте так "Впишите недостающее слово: пусть всегда будет ........"

Ну и совсем сложный вопрос "Небесное светило" - Илья фиг угадает!
Придумает сотни неверных ответов. Хотя ответ тот же, что и в предыдущем сообщении.