Не так давно, с неделю как, мне пришла идея о защите от спама блога wordpress. О защите от спама уже говорено-наговорено, но своего метода я еще не видел и про него не слышал.
Идея проста: банально не показывать спам-боту форму отправки комментария.
Реализация:
- Форма подгружается через AJAX, например через onload тега <body> (возможно другие варианты)
- Имена всех элементов формы генярятся случайным образом, вида «4jlfd8hewrkvf8df7″ и каждый раз разные ,чтобы бот не спамил напрямую через скрипт
Достоинства:
- не нужно использовать каптчу, что удобно для посетителей
- по логике пробить такую защиту бот не сможет
- идея применима не только для WordPress-a
Недостатки:
- возможная несовместимость с существующими плагинами, например «древовидные комментарии»
- AJAX требует включенного Javascript
Что скажете? Я погуглил-пояндексил — похожего не нашел. Если есть — дайте ссылку, буду благодарен за своё сэкономленное время 
Я шокирован! То ли очередной кризис на дворе, то ли работодатели совсем обнаглели. Рыночная цена такого спеца в украинской провинции $600-1100.
Loading ...
ноября 13, 2007 в 2:49 пп
> Имена всех элементов формы генярятся случайным образом
запоминать пользователя не будет возможности. он должен будет постоянно вводить имя, сайт, мыло
уж проще ввести капчу.
и как будут определяться поля таблицы в базе куда пихать комментарии?
ноября 13, 2007 в 2:55 пп
>и как будут определяться поля таблицы в базе куда пихать комментарии?
просто запоминать в сессии какое поле что значит
>запоминать пользователя не будет возможности. он должен будет постоянно вводить имя, сайт, мыло
тоже просто решается сессией - сохраняется после ввода и подставляется в загружаемую AJAX форму
> уж проще ввести капчу
каптчу и пробить проще
ноября 13, 2007 в 4:15 пп
зачем так выделываться, если просто можна сделать onsubmit=false
и отправлять форму через аякс с использованием prototype - form.serialize
но лучше когда там аякса не будет вобще
ноября 13, 2007 в 4:19 пп
Как по мне, то факт того что форма подгружается ajax скриптом никак не влияет на возможность прочитать её скриптом. Тот же httpunit прекрасно выполняет javascript и после подгрузки формы сможет её прочитать.
ноября 13, 2007 в 4:41 пп
кстати, у меня на блогах капчу не пробивает никто, так что можно не заморачиваться
ноября 13, 2007 в 5:14 пп
2Woffka: В том то и идея - что бы бот не знал что на странице есть форма вообще и не знал что ему дальше делать
2SergeyL: Можно сделать так, чтобы бот просто не знал что ему нужно вызвать, чтобы получить форму
Ко всем: ребята, я понимаю что проще всего - забычить чужую идею. Каждый может сказать: "да это фигня".
Неправильно мыслите. Если можно выполнять яваскрипт - почему бы не подумать как это обойти и предложить идею? Просто чтобы размять мозги.
ноября 13, 2007 в 6:01 пп
Вова, правильно мыслишь. Можно вообще обойтись без формы, она не нужна. Но если нужно загрузить файл, то без формы конечно же никак.
Поэтому если форма без аплоада файла, то можно сформировать ПОСТ запрос яваскриптом и отослать его используя AJAX (сгенерить пост-запрос это легко). При этом не нужно спец. имен полей и т.д. Думаю того что я описал должно быть достаточно
ноября 13, 2007 в 8:00 пп
Петрович, пробить твой метод можно за пять минут. Другая сторона медали в том что заниматься конкретно твоим сайтом врядли кто будет, поэтому тебе проще переименовать поля и не пудрить себе мозги.
ноября 13, 2007 в 8:13 пп
хотя без базару яваскриптом ты очень сильно усложнишь боту задачу.
ноября 13, 2007 в 8:15 пп
кому интерестно - одна из самых удачных анти-бот реализаций у майкрософта
на хотмейле при регистрации ящика. ихнюю капчу расшифровать пока что сумел только один человек.
ноября 13, 2007 в 10:53 пп
>ихнюю капчу расшифровать пока что сумел только
>один человек.
Покажите мне этого человека. Хочу с ним пообщаться
ноября 13, 2007 в 11:43 пп
Лично я его не знаю, мне давали потестить скрипт (на удалённом сервере) которому POSTом заливаешь картинку он отвечает распознанным текстом.
ноября 16, 2007 в 4:36 пп
Может это было популярное нынче использование посетителей порносайтов в качестве распознающего элемента?
Если нет, то тогда все же очень интересно как это было сделано.
декабря 1, 2007 в 4:03 пп
На самом деле любая капча, кроме гугловской распознается с вероятностью 0.8, гугловская с вероятностью 0.2. В любом случае вещь почти бесполезная. Жаль нет под рукой соответствующих ссылок. Но гугль вам поможет найти эти исследования.
декабря 1, 2007 в 4:58 пп
0.8 это 80% чтоли?
декабря 1, 2007 в 6:04 пп
кароч говорить можно что угодно, другое дело - действительно это реализовать
декабря 1, 2007 в 7:00 пп
Да, Раян... Капчи ломаются со страшной силой, теми кто знает как их ломать. И если твою капчу экономически целесообразно ломать, ее взломают. У нас даже была идея написать плагин для фф, который будет искать на страничке стандартную капчу, распознавать ее и вставлять значение в поле. Такое себе облегчение жизни пользователей.
Кстати, случайно наткнулся на элегантное решение проблемы спам ботов http://www.rustylime.com/show_article.php?id=338 .
Капча - это серьозная муда для юзера. И он обычно решит, что ничего писать не стоит и что лучше вообще на этот сайт не ходить. )
декабря 1, 2007 в 7:08 пп
та капча что тут на сайте самая элементарная, за пол часа пишется распознователь. говорю, потому что сам писал когдато давно распозновалку для капчей на сайтах киевстар/юмс, чтоб смс-ки слать простым перл скриптом. капча там была подобная этой. никаких нейросетей не нужно
декабря 1, 2007 в 11:35 пп
Солидарен с Владом, тут капча очень простая.
Не знаю как там перлом, но нейросеткой такая распознается с вероятностью 1
А вот по поводу капчи вообще, то тут Руслан явно витает в облаках. Капчи и Гугла и Майкрософта, как и многие другие, взламываются далеко не просто.
мая 14, 2008 в 10:09 дп
Капча удобна, если в ней нет тригонометрических уравнений
ноября 25, 2011 в 9:10 пп
хмм, на первый взгляд идея отличная, но как обдумать то не очень, и что будет стоить переписать спам-бот ?? т.е. Можно запарсить html и однаково заполнять форму автоматом. Что сделано человеком можно взломать. Идеальной защиты не существует.