Názory k článku Konečné řešení v boji proti spamu v diskusních fórech
-
Já to sice nepotřebuju ale pokud to opradu funguje nezbývá, než pochválit kohokoliv kdo věnuje svůj čas a um boji proti čé-ú-er-á-ká-ú-em spamerům.
Komunita a standartizační organizace by se měli spojit na vývoji SSMTP a urychleně na něj přejít. Případně přejít na WOT a tím zneplatňovat případné osobní certifikáty (stačí anonymně prostě pro každé konto vygenerovat náhodnou haluz) a pro každé from by pak mailservery mohli ověřovat jestli této email adrese odpovída ten certifikát. Dokonce by to mohlo zabránit FAKEObání identity. Problém se spamem by to nevyřešil v případě krádeže identity při naboření počítače ale personal-key by se pak dal používat i na jiné věci. Centrální registr klíčů (byt distribuovaný stejně jako PGP) by asi neprošel, protože by to mohla být celkem cenná databáze ale do DNS by kromě MX záznamu mohl přibít CX záznam s informací o nějake službě která ten pubkey poskytne. -
znechucen (neregistrovaný)Jedná se o antispamovátko do diskusních fór (captcha), ne do mailu. Pokud bych v nějakém fóru na něco takového narazil, půjdu jinam.
Ohledně mailových spamů doporučuju přečíst http://www.rhyolite.com/anti-spam/you-might-be.html (humor jen do jisté míry). Mailový spam bude existovat tak dlouho dokud: 1) rozesílání mailů bude zadarmo 2) bude možné kontaktovat předem neznámé osoby. Zrušení těchto podmínek je neprůchodné, na druhou stranu jakékoliv technické tanečky bez zrušení těchto předpokladů budou více či méně neúčinné. -
No, když se na to podíváme z druhé strany, tak je to ještě horší než captcha.
Někteří lidé mají potíže se zrakem a také používají internet. Nejpřijatelnější pro mě stále zůstavá textový dotaz a odpověď na něj. Popřípadě s využitím nějakých dalších "důmyslností".
například: Švestek je sedm a jablek je 6. Napište součet číslem.
Jazyky jsou bohaté a čeština obzvláště. Tak proč ji nevyužít. Metoda z článku zabere mnohem více času, než spočítání si na prstech 6 + 7 = 13 -
Bulvárněji laděný titulek by nešel? Kolik tu už bylo konečných řešení všelijakých problémů?
Podle mě to rozhodně jako 100% ochrana fungovat nebude. Pokud si útočník převede ty 2 obrázky na text, tak má vyhráno. Víc nepotřebuje. Barvy rozezná a pak s úspěšností 1:4 bude spamovat.
Navíc je potřeba volit vhodně barvy, protože lidí s nějakým druhem barvosleposti je dost (sám jsem byl překvapen, když jsem se to o některých lidech dozvěděl). A nechat slepého odkázaného na to, aby mu to nascanovalo OCR je podle mě nesmysl. Jednak hlasové čtečky obvykle nečtou barvy a taky neříkají na jaké pozici daný znak je. (Zkuste se do takové pozice vžít.)
Jinak Vás samozřejmě nechci odrazovat. Jakýkoliv boj proti spammerům včetně umlácení kladivem je chvályhodný. Ale tohle nevidím jako dobré řešení. -
> Podle mě to rozhodně jako 100% ochrana fungovat nebude. Pokud si útočník převede ty 2 obrázky na text, tak má vyhráno. Víc nepotřebuje. Barvy rozezná a pak s úspěšností 1:4 bude spamovat.- 1. s přečtením pomocí OCR se počítá, proto je tam věta a v ní překlepy -> věta se musí vyhodnotit
- 2. nemusí být 2 obrázky, může jich být např. 6.
- 3. barev může být víc např. 9
- 4. pravděpodobnost je 1:N dle nastavení a počet pokusů je 1 pro jeden vygenerovaný filtr
-
1. preklepy - myslite, ze kazdy clovek pozna spisovnu cestinu(respektive iny jazyk) na 100%? niektore preklepy su viditelne, niektore nie su zrejme na prvy pohlad (nie to este na pocutie pre povedzme slepych pouzivatelov).
3. farby: napriklad mne mozete dat farieb aj 256 a uvidim ich len naozaj par a aj to v inych farbach ako si myslite (napriklad zelenu vidim ako hnedu, oranzovu vidim ako zelenu). co so mnou? zastrelit? na web s uvedenym pristupom sa nedostanem... -
ad 1 - Překlep je pro člověka v tomto filtru jednoznačný, dělal jsem spousty pokusů a vždy z kontextu věty lze přesně říct o jaký překlep se jedná. Zda to bude použitelné pro slepé uživatele nedokážu posoudit - bez OCR tak jako tak ne.
ad 3 - Zkuste si pokusně napsat nějaký příspěvek do konkrétní implementace v diskusi na kregion.cz a nezadávejte kód: bude Vám po chybném zadání kódu zobrazen text příspěvku a můžete ho poslat e-mailem. Konkrétní přítupnost záleží na implementaci.
-
posielanie mailom? nic v zlom, mat na starosti web, kde pribudne 5 prispevkov za den je o niecom inom ako mat web, kde pribudne prispevkov 5000. samozrejme nie kazdy ma zrakove postihnutie, no napriklad poruchu farbocitu ma nejakych 8% populacie, co je pomerne dost velke cislo na administraciu. uvedene riesenie je preto podla mojeho nazoru vhodne pre male weby a na velke projekty dost nevhodne.
-
Chlasto (neregistrovaný)Som farboslepy a priznavam si to.
V skutocnosti viac 50 percent ludi ma niektoru poruchu vnimania farieb.
Ja napriklad skutocne neviem precitat niektore captcha obrazky. Ale problem mam len vtedy, ked mi manzelka povie, ze si mam zobrat tu bezovu koselu ;-)
Spam je len jeden z problemov diskusnych for, druhym a to mozno este vacsim su <tu_si_dajte_dake_skarede_slovo> uzivatelia, ktori su castokrat nadpriemerne inteligentni. -
Tak to vysvětlím na příkladu: Představte si že podepíšete pracovní smlouvu se zaměstnavatelem a v ní bude napsáno, že Váš podpis lze použít jako platný pro jakékoliv budoucí smlouvy daného zaměstnavatele nezávisle na personálním složení vedení firmy nebo personálním složení majitelů firmy. Tomu už rozumíte? Nebo jinak: bezmezně důvěřuji svému/svým vůdcům a předávám svůj podpis na smlouvu, která říká, že další smlouva, kterou mi vůdce předloží bude platná nezávisle na tom co je v ní napsáno, a to aniž bych jí podepsal. Kapišto?
-
disorder (neregistrovaný)pekny priklad, ale nema s tym nic spolocne. FSF je doveryhodna autorita a ked neveris, ze splni svoj zavazok (ze GPL bude vzdy plnit svoj ucel), tak si akurat vytvaras potencionalne problemy. na kazdu verziu SW vydanu pod konkretnou verziou GPL sa mozu vztahovat potencialne diery, legane sposoby "zneuzitia". a navyse ak prijimas cuzdzi kod len pod GPLv2, tak to moze sposobit dalsie problemy. toto chytractvo sa mi vobec nepaci, o to viac, ze ked som sa s tym prvykrat stretol, tak to bolo vylozene tak, akoby vsetci kto vydavaju pod "v2 and later" su idioti a ze im nedochadza o co ide.
> Kapišto?
nie, taky postoj neviem pochopit. -
To není postoj ke GNU/GPL v2 ani postoj k FSF. To je obecný postoj k jakékoliv smlouvě. Ukažte mi podnikatele, který by podepsal smlouvu s druhou stranou, ve které by bylo řečeno něco v tomto smyslu. To byste taky podepsal? Že souhlasíte s každou další budoucí verzí současné smlouvy, kterou Vám druhá strana předloží? V tomto případě je zveřejnění softwaru pod licencí GNU/GPL bráno jako podpis smlouvy v okamžiku zveřejnění. Váš postoj v tomto případě nechápu a to asi v tom smyslu jako postoj ke smlouvě. Dokážu pochopit Váš postoj k vydavateli GNU/GPL tedy FSF jako důvěryhodné organizaci v současné době. Na tom se asi shodnem. Nejlepším důkazem je asi současné henyky benyky Novellu a Microsoftu a zamezení podobných dohod v přípravované GNU/GPL v3. Pořád to ale nezmění můj obecný konzervativní postoj ke smlouvě podobného typu (o budoucích ujednáních atd.). Můj postoj je založen na historií prověřených a denně viděných situacích ve zprávách o selhání lidského faktoru. Co nakonec zbyde, když dojde na lámání chleba? Zbyde smlouva a z ní vyplývající závazky a smluvní pokuty. To se pak některá ze smluvních stran nestačí divit, co to vlastně podepsala. Tak to je můj konzervativní obecný postoj ke smlouvám. Až bude konečná GPL v3, tak si ji přečtu a pravděpodobně použiju, jako autor na to mám právo. A opět nebudu souhlasit s GPL v4 dokud nebude vydaná.
-
Dragh (neregistrovaný)https://jobs.quickhireuk.co.uk/scripts/gchq.exe/runuserinfo?haveusedbefore=0 :-)) (rok narodenia)
-
Mikuláš Patočka (neregistrovaný)"Na diskusích se objevily připomínky přístupnosti takových filtrů pro zrakově postižené. To bych řešil speciálním webovým prohlížečem pro zrakově postižené, který by celou stránku převedl do bitmapy, tu pak přečetl přes OCR a obarvenou stránku převedenou do textu poslal do čtecího zařízení pro zrakově postižené. Tím by se zrakově postiženým zpřístupnila spousta současných webů."
--- a až si zmiňovaný "speciální webový prohlížeč s OCR" stáhne spammer, tak co? Pak tam ty obrázky nemusí být vůbec. Autor v tom nemá moc jasno. -
Navic ne vsichni zrakove postizeni potrebuji cteci zarizeni. Mam barvoslepeho znameho - kdybych mu ukazal podobny obrazek jako byl v ukazkach a rekl at z nej opise nektera pismenka tak me posle do haje, protoze napriklad nerozezna hnedou od zelene. A nerekl bych ze to bude kdovijak vyjimecna zrakova vada.
Je to prekomplikovane a nepristupne, "thumb down". -
> a až si zmiňovaný "speciální webový prohlížeč s OCR" stáhne spammer, tak co? Pak tam ty obrázky nemusí být vůbec. Autor v tom nemá moc jasno.
Spamer už OCR má s tím se počítá. Spamer si musí vyhodnotit větu, ve které jsou překlepy a správně se rozhodnout, který čtverec bude číst. Čtverců může být více, barev také.
-
Pavel (neregistrovaný)Když OCR má, tak to potom není problém.
1. Jak už tu bylo dřív, šance na uhodnutí správné barvy je 1:4
2. Text s překlepy by nebylo tak těžké rozluštit, pokud je velice omezený slovník:
a) Slova jsou/nejsou se dají rozeznat jednoduše tak, že v nejsou musí být n nebo e.
b) vpravo/vlevo - ve slově vpravo nesmí být v prvních čtyřech písmenech l; ve slově vlevo musí být l nebo e.
pro barvy by byly podobný pravidla. A tyhle věci musíte dodržet, jinak to nerozezná ani člověk. -
Milan Zoubek (neregistrovaný)Tohle neznamená, že v tom autor nemá jasno.
Tohle znamená, že je autor patnáctileté snažílkovské děťátko, které právě napsalo svůj první "programátorský" článek. Gratuluji!
Příště prosím publikovat na owebu.cz, kde se najde dostatek fanatických obdivovatelů libovolné kraviny, a ne na rádoby odborném serveru. Programátor opravdu není člověk, který se naučil používat PHP a knihovnu GD a nyní ejakuluje jednu hovadina za druhou. -
Radek (neregistrovaný)System je to mozna zajimavy, ale nejzajimavejsi je ten system casove ochrany. Prvni padouch, co si toho vsimne, udela pekny DoS a vyresi provozovateli jeho problem s forem s konecnou platnosti :-)
Taky me pobavila formulace typu "problem zrakove postizenych bych vyresil novym prohlizecem". To je vcelku alibisticke preneseni nevyresitelneho problemu mnohem
vetsi slozitosti na virtualniho resitele... Neco jako "nase auta pouzivaji jen 2 kola vprostred auta, ale to se vyresi pridanim kolejnice do prostred silnic..." -
Milan Zoubek (neregistrovaný)Kolik ti je chlapečku?
Tvoje nápady jsou zcela odzbrojující. Postiženým kvůli mé captcha pořídíme nový OCR prohlížeč, problém záhadné zabudované časové ochrany řešíme jejím vypnutím, proti spamerům se bráníme skrytím veřejné statistiky návštěvnosti....
To jsou takové perly, že se tu chechtáme už od rána. Jak může Root publikovat takové kraviny? Oni viděli GPL v2 a článek už putoval ke zveřejnění? Opravdu sem plácnou libovolnou ptákovinu, hlavně když bude pod GPL? -
Milej zlatej, $reload_protection jsem navrhnul vypnout, protože je napadnutelná opakovaným reloadem a dojde k zablokování diskusního fóra. Chyba bude vyřešena v budoucí verzi rozpoznáváním reloadu podle IP adresy.
Chechtej se dál, pane chytrej, když nic jiného neumíš jen zkritizovat druhé a sám nic nedělat, podle hesla: Kdo nic nedělá, nic nezkazí, kdo nic nezkazí je povýšen, kdo je povýšen, nic nedělá. Tohle heslo je z komunistické éry, jestli si to nepamatuješ :-)
-
Milan Zoubek (neregistrovaný)Chlapče, chlapče, je to škoda, že neumíš odpovědět na přímou otázku, ale ani jsem nic jiného nečekal. Některé děti se za svůj věk totiž stydí.
Nechci tě vybízet k nicnedělaní. Ale, moc prosím - patlej si své amatérské banální skriptíky pěkně skrytě doma a necpi se s nimi na root.cz. Nikdo tu na tvé první pokusíčky teď není zvědavý. Zkus to později, až se něco naučíš.
Nebo snad jsi hrdý na to, že ty zdrojáky vypadají jako vypadlé krávě z huby? Že jsi nezvolil formu knihovny, ale uživatelům dáváš jakousi hromadu kódu, ať si ho sami přeberou? Že ti první hrubý problém (přitom zcela triviálně zjistitelný) objevil neznámý člověk na anonymním fóru, který zatím zdrojáky ani neviděl?
Pořád věříš tomu, že je tvoje řešení zcela geniální? Opravdu jsi nemohl tyhle problémy vychytat dřív, ještě než jsi se s velkou slávou přišel ztrapnit mezi linuxáky? To ti nevadí, že až za pár let vymyslíš něco zajímavého, tak tě všichni budou ignorovat, protože každý bude vědět, že tohle je jen další trapný výplod toho děcka Pavla Chalupy? -
Pán je asi uražený grafoman, když nedokáže stručně napsat o co jde a umí jen osobní útoky, místo věcné diskuse. Zdroják není dokonalý, však to bylo rychlé řešení a důležitá je funkčnost. Jednoduchá chyba se časem opraví. MPlayer taky ve zdrojácích není ukázka z hodiny programování a přesto je fukční výsledek to nejlepší co existuje.
-
Píšu to do diskují nerad a velmi výjimečně, ale tady platí na celé čáře:
Jste totálně trapný, Zoubku!
Autor zkrátka napsal zajímavý skriptík a očekává věcnou diskusi nad principy, nad kódem, nebo aspoň tichou ignoraci linuxových géniů i "linuxových géniů". Jestli máte kousek soudnosti, pak napište v klidu a míru, že termín "konečné řešení" není zrovna v historickém kontextu košér, napište, že ty PNG jsou relativně dost OCRabilní a že pokud nebude velmi velká pestrost otázek, pak lze i náhodně přidaný šum (falešné znaky) z textu odfiltrovat, nebo že s tím budou mít problém barvoslepí.
Ale jelikož vás devizou zvanou slušnost Pánbůh neobdařil, pak zůstaňte, prosím, protentokrát nad věcí a nerejpejte do někoho, kdo se o něco užitečného snaží!
-
Radek (neregistrovaný)Je pravda, ze s nazorem pana Zoubka nejde souhlasit uplne (hlavne personalni utoky jsou pod urovni), ale na druhou stranu ma v mnohem pravdu. Kdyz si to zrekapitulujeme z objektivniho hlediska:
* Autor se zamyslel nad resenim problemu spamu ve forech (zasluzna cinnost) a vymyslel podle nej genialni reseni, ktere ma ovsem mnoho chyb. Navic je zcela ocividne, ze autor nema bud zkusenosti se zakladnimi principy bezpecnosti nebo si poradne nepromyslel, co jeho system dela - jak jinak si vysvetlit, ze do systemu zatahl bezpecnostni diru jak hrom (ona casova ochrana), aniz by si to uvedomil?
* Problemy, ktere autor nezvladl vyresit (zrakove postizeni) se snazi neignorovat (dobry pristup), ale resi je prehozenim horke brambory nekam jinam, kde je ovsem reseni zcela nemozne nebo prinejmenjsim neefektivni - kdyz uz nekdo napise novy prohlizec, ktery bude postizenym pomahat lustit tuhle ochranu, proc by nemohl delat ochranu on sam uz nejak lip?
[ zatim je to vsechno vicemene v poradku a pokud by si autor vyzkousel svuj system na www.hornidolniweb.cz, tak by se asi nedalo nikomu moc vytknout ]
* Jenze autor se rozhodl publikovat clanek na rootu a jeste k tomu vymyslel (nebo to byla redakce???) bulvarni nadpis, ktery sam o sobe vnucuje myslenky, ze autor vymyslel neco genialniho, neco, co zatim nikdo nedokazal, ze vsichni jsou hloupejsi a ze vsechny weby cekaly, az prijde On a vsechny je spasi (tento bod je umyslne psan podobne bulvarnim stylem jako nadpis clanku)
* Nejvetsi chybou ovsem je, ze redakce roota, ktera ma mit odborne redaktory, tento clanek publikovala. To ovsem nevypovida nic o autorovi, ale o redakci a o neustale klesajici urovni roota.
Radek
P.S. Pro pripadne kritizanty predem dodavam, ze jsem nekolik systemu na ochranu for pred spamem napsal...
P.P.S. Neda mi to, abych nezminil pro me zajimavou perlu: Sefredaktorem roota je Petr Krcmar, ktery ve sve knize o bezpecnosti ( http://www.grada.cz/katalog/seznam/linux-tipy-a-triky-pro-bezpecnost/ ) (knizka je jinak vcelku dobra) popisuje jako uzitecnou ochranu pred DoSem velice podobnou vec na urovni firewallu (Prvnich X klientu za casovy okamzik pustit, ostatni zahodit). -
spammer (neregistrovaný)je to jen dalsi turinguv test na tema captcha, lze snadno ve velkem obejit pres proxy spamsajty "enter the code below to enter our great porn site", o zrakove postizenych ani nemluve. turingovy pasti (spam traps) vykazuji daleko lepsi ucinnost ('forum pro roboty') a jsou jednodussi na implementaci, staci dat do cronu - DELETE FROM prispevky WHERE user IN (SELECT user FROM prispevky WHERE forum_id=forum_pro_roboty) AND forum_id <> forum_pro_roboty
(sqlite, upravte si pro svoji oblibenou databazi/forum).
na druhou stranu pokud diverzita captcha systemu bude rust temptem jakym roste tak proste spameri nebudou stihat patricne upravovat sve roboty. taky cesta :) -
ludvik (neregistrovaný)Ta turingova past je docela dobra. Spammeri si ale muzou jmeno tech "for pro roboty" zanaset do databaze, a pak na fora v databazi (uz pod jinym jmenem) nic neposilat. Takze je potreba to forum (nebo vic), take cronem obcas prejmenovat, aby to vypdalo, ze je nove forum a robot se na nej muze vrhnout.
Dalsi problem je, ze si muze spammer forum pro roboty oznackovat (posle spam do vsech for a ten spam zustane jen ve foru pro roboty). Pod jinym jmenem pak spamuje pouze fora, kde neni jeho prispevek. Takze je treba i forum pro roboty obcas mazat a schovavat si jmena, aby se podle nich dalo priste mazat. Dalsi problem muze byt, pokud spammer pouziva na kazde forum jine uzivatelske jmeno, to pak asi Turingova past nebude fungovat vubec. Nebo se to da taky nejak resit? -
spammer (neregistrovaný)podstatne je zajistit aby nebylo videt ze nejaka past vube je. tj napriklad
prispevky nemazat, ale nastavit priznak "ukazovat spammerum" a uzivatelum mladsim jednoho tydne, ostatnim nic. nazvy fora musi vyjadrovat ze sou pro spam boty, tzn. napriklad "toto je topic o ohrozenych medvedech" na foru o warezu atp. -
michal (neregistrovaný)Chtel bych autorovi podekovat za jeho snahu a vzkazat mu, at ho v zadnem pripade neodradi spousta negativni odezvy.
I kdyz ti nekdo drbe do projektu, do ktereho jsi dal srdce, neber to jako utok na sebe - udelal jsi neco co ma mouchy a ted vis, co se na tom ostatnim lidem nelibi. Vzdycky kdyz neco dela 1 clovek, postupem casu si zacne myslet, ze je to dokonale. Az konfrontace s ostatnimi lidmi ho presvedci, ze ne. Je to tezke, ale chce to otevrit svou hlavu a nezabednovat se pred vyhradami ostatnich. Ono se to jednou podda :) -
Diky za podporu. Minimálně jedna závažná chyba tam je, a to v $reload_protection, protože je napadnutelná jednoduchým opakovaným reloadem a tím se zablokuje fórum. Současné řešení je nepoužívat reload ochranu a počkat až do systému implementuji rozpoznání reloadu podle IP. Bude to ale neúčinné proti pokusu o skenování otázek z náhodných IP adres. Na druhou stranu bude volitelné, který způsob ochrany nebo jeho kombinace se použije.
-
Ty IP mají jednu zásadní nevýhodu. Pořád je tu dost velké množství providerů, které šoupnou lidi za NAT, pro ty to pak bude nepoužitelné, pokud tam takových bude chodit víc.
Ledaže byste pak zobrazil nějakou takovou informační bububu větu a snažil se tím tlačil lidi na to, aby tlačili na providery, aby dávali veřejné IP nebo, lépe, prosazovali IPv6. Pak by to bylo chvályhodné. :-) -
Ten reload je implementován i pro vícenásobný přístup z jedné IP, jenom je omezeno množství opakování za jednotku času. Až tam bude omezení hodnocené podle IP, bude to fungovat stejně a NAT nebude vadit. Pak bude množství reloadů omezeno dvojím způsobem: celkově za jednotku času ze všech IP a celkově za jednotku času z jedné IP. Hodnoty si každý nadefinuje podle návštěvnosti. Ten celkový reload nerozlišený podle IP bude mít logicky větší hodnoty.
-
Michal (neregistrovaný)Je to zajimave, ale zkousel jsem si tu ukazku a prispevek bych vlozil az na nekolikaty pokus, coz se mi moc nelibi. Napad je to zajimavy, ale boj proti spamu to nevyresi na dlouho. Spam se vyresi snad jedine tim, ze se spamerum prestane vyplacet, jak jiz bylo nekde vyse receno. Budete podnikat v oboru, ktery je ztratovy? Dost tezko. Jenze je naprosta utopie predpokladat, ze se nabidkami spameru lide prestanou zabyvat. Mozna, ze by pomohly jednoznacne identity a certifikaty, ale taky to neni samospasitelne. Sveho casu jsem si rikal, co by byl nejlepsi trest pro odhaleneho spamera. Zavrit do vezeni a nechat ho tridit spam od normalni posty par let kazdy den. A za kazdy spatne zatrideny e-mail den vezeni navic :-) A totez kdyz bude tridit prilis pomalu.
-
kakraholt (neregistrovaný)Používám Captcha, náhodně lze toho generovat plno: úhel, barvy, velikost, počet... Troufám si říct, že žádné dnešní OCR to přečíst neumí - protože je miliardy kombinací toho všeho.
A i kdyby umělo, můj web nestojí za to a ani nestojí za to "lákat" miliony uživatelů na XXX a nechat je zadávat kód. Ostatně účinnost něčeho takovýho by byla mizivá.
Zrakově handikepovaní můžou poslat příspěvek e-mailem - mám to v ALT.
Tohle je prozatím moje jednoduché konečné řešení a mám ho už asi 3 roky. Ostatně předtím, než jsem to tam dal, spamy vesele chodily, od tý doby ani jedinej.
A narozdíl od popsaného v článku je to na 1 - 2 vteřiny a ne na tejden.
Jestli dotyčnej nehodlá věnova vteřinku navíc, ať na můj web příspěvky nepíše - je mi to jedno :-) -
web je tym lakavejsi, cim vyssie sa v googli objavi pri roznych primitivnych dotazoch. moj web je takisto dost nezaujimavy a denne je tam radovo niekolko desiatok zobrazeni, ale cez 70% prispevkov vo forach sa snazi tvorit spam. Cim je stranka validnejsia, semantickejsia, tym sa stava pre robotov citatelnejsia a tym radsej ju spamuju. Ono totizto tam ide aj o to, ze ked sa roboti naspamovany link zobrazi na stranke, ktora je pomerne vysoko v googli pri roznych vyrazoch, vznikne plosne aplikovany druh google bomby. -
Petr (neregistrovaný)Je to jen další varianta starého systému Captcha - jen je o něco složitější pro zadávání a ještě více otravující uživatele. U klasické musel uživatel jen opsat kód, teď ještě u toho musí řešit 'hádanku'.
Na podobné systémy jsem se vykašlal už dávno, na Přírodě jsem to už dávno vyřešil kontrolou textu pomocí jazykového slovníku a funguje to naprosto spolehlivě a bez jakéhokoliv zdržování a otravování pro pisatele. Z desítek a stovek spamů zadaných denně do debaty je z toho NULA, problém spamu pro mě prostě přestal existovat :-)
Antispamovou ochranu má podle mě řešit server a ne ji přenášet na uživatele. -
mtd (neregistrovaný)to neni pravda, captcha je zkratka z "Completely Automated Public Turing test to tell Computers and Humans Apart". existuji i ciste textove varianty.
kdybych neco takoveho psal ja, zameril bych se spis na textove captcha a jazykovou stranku veci -- afaik stale neexistuje slusny matematicky model cestiny, cehoz se da vyuzit.
v podstate nejjednodussi reseni co me ted napada je vzit par vet z nejakeho clanku a jako otazku dat treba 'jakou ma medved barvu?' :-) -
Nevím, kolik světle oranžových medvědů běhá po české beletrii ;-), nicméně v principu je to nápad dobrý, a navíc působící psychologicky -- než člověk domyslí barvu medvěda, stačí vychladnout z největšího rozhořčení a třeba i svůj příspěvek upraví ...
BTW na iDnes by se tak počet příspěvků snížil možná i o řád ... ;-) -
Mirek (neregistrovaný)mam dva weby, kde lide mohou prispivat bez jakehokoliv dalsi pruzeni necim podobnym (jednoduse vyplni text a tlacitkem ulozi) a filtr, ktery tam mam (na kazdem webu trochu jiny) mi veskery spam blokuje zcela spolehlive (denne je to az nekolik set spamovych prispevku)
myslim si, ze hlavni ochranou by mela byt jedinecnost takovehoto filtru (takze nechtejte po me, abych vam rekl, jak jsem svoji ochranu udelal), nebot jakmile se neco hojne rozsiri, tak si spameri vzdy najdou cestu jak to obejit
http://www.root.cz/clanky/captcha-negativa-a-sposoby-prelomenia/ je naznacena moznost prolomeni captchy - pomoci uzivatelu, kteri obrazek opisi v okamziku, kdy chteji navstivit nejaky jiny web a obrazek je jim podstrcen (4. moznost v clanku) - podobne lze temto uzivatelum podstrcit printscreen teto ochrany - tedy otazku vcetne vsech obrazku -
Cim ? Tou 26 ? Samozrejme ze ne, ale cetl jsem to rychle a teprve dodatecne jsem si uvedomil, ze v tomto pripade plati "nasobeni ma vetsi prioritu" a nikoliv chovani beznych kalkulacek "kazda operace se zprocesuje okamzite po zadani druheho operandu". Z nejakeho duvodu fakt, ze byla uloha zadana slovne, asocioval druhou moznost ...
Pravda, pokud je to ochrana na principu "kdyz cte tak rychle, asi jeste nevychladl", pak to lze prohlasit za feature. -
anonym (neregistrovaný)Podle mého názoru jediné opravdu konečné řešení spamu v diskuzích je zrušení diskuzí. Kdo má potřebu se k tématu vyjádřit, ať tak učiní na svém blogu. Toto řešení funguje jako velmi účinný sociální filtr, filtruje též flamewary a většinu osobních útoků. Zároveň jsou pak všechny reakce neanonymní (pokud si někdo nezaloží blog na hostingu jen pro jeden komentář). Nevidomí s ním nemají problém a kdo si opravdu chce přečíst i jiný názor na věc, nechť použije vyhledávač (v případě přímých komentářů třeba i speciální vyhledávač provázaných blogů jako Technorati apod.).
A ano, jsem si vědom toho, že kdyby to takhle řešil každý, tak tady tento můj příspěvek není, není anonymní a ani by se mi ho nechtělo psát, protože bych si předtím nepřečetl celou diskuzní stránku, jejíž úroveň je, jak se na rootu poslední dobou stává, občas velmi ubohá. -
anonym (neregistrovaný)
Nemyslím, že by to bylo tak složité. Google dneska taky umí vyfiltrovat porno a warez minimálně z prních stránek vyhledávání, tak proč by to pro technorati a spol. mělo být o tolik težší? Už dneska technorati umí třídit blogy podle jejich významu (obdoba google page rank) a spameři asi nebudou moc vysoko - kdo by je linkoval? Až se spameři začnou linkovat navzájem, tak budou muset nastoupit složitější algoritmy určování významu, ale opět google je příkladem, že filtrovat uměle nadhodnocené stránky +- lze.
Hlavní je, že každý spam bude mít URL v nějaké doméně, která někomu patří. Tudíž bude jednodužší spam identifikovat (narozdíl od autorem článku vyvíjeného řešení na bázi IP adres). A registrovat si každou chvíli novou neposkvrněnou doménu by se spamerům dost prodražilo.
Čistě teoreticky by přiřazení URL spamu mohlo umožnit i snadnější právní postih spamerů. Po úpravě zákonů... a jen v některých zemích.
Myslím, že největší slabina tohoto řešení není technická, ale sociální. Aby to začalo fungovat, museli by uživatelé výrazně změnit své chování (sehnat si domény, založit si vlastní blogy,...) a hlavně provozovatele diskuzí by je museli zrušit. A to se asi nestane dokud nebude spam opravdu všudypřítomný, protože každý provozovatel diskuze (root.cz nevyjímaje) je velmi rád, když na jeho stránky chodí lidi, přispívají a hlavně tam čtou reklamu.
-
A jak vysoko myslis, ze budou novacci ? Vyfiltrovat porno z obsahu, ktery neni prilis linkovan, bude tezsi. Krome toho mozna ti to pripada jednoduche, ale osobne predpokladam ze v Google na to maji tymy lidi kteri neustale vymysleji jak to vylepsit.
To jako myslis ze by kazdy Josef Novak mel vlastni domenu druhe urovne ? Uz dnes neni problem postavit si blog na nejake domene treti urovne a kdyby to byl bezny mechanismus odpovedi, bylo by to jeste jednodussi ... uvedom si, ze uz dneska ma vetsina pocitacu dns jmeno, i kdyz treba takove r5bb000.net.upc.cz nepatri mezi popularni, krome toho web lze mit i na numerickem IP.
Trochu pomuze, ze aby domenu nekdo cetl, bude muset byt linkovana, takze spammer si nemusi porizovat jen novou domenu, ale take ji zalinkovat. Nojo, ale co kdyz ji zalinkuje spamerskym zpusobem ? A jsme zase u tech slozitejsich algoritmu ...
Tomu neverim ani v teoreticke rovine. Zvlast kdyz uvazim, ze spousta spamu URL ma.
Jojo ... lidi by mozna chovani zmenili (zvlast kdyz existuji metody jak vytvorit iluzi diskuze s odpovedi na jinem serveru), ale co by z toho meli provozovatele ? -
Uvedené řešení se mi také (stejně jako některým dalším) příliš nelíbí, rozhodně bych ho nenazýval Konečným řešením. Jednak je nepřístupné pro lidi s poruchou barevného vidění a jednak je zbytečně komplikované jen kvůli tomu, aby bylo komplikované. Prokládání textu a obrázků v otázce stejně jako generování překlepů je zcela samoúčelné - článek rovnou nabízí návod, jak tuto "ochranu" obejít.
Co mě ale rozesmutnilo (nebo pobavilo) nejvíc, je ochrana proti skenování databáze otázek. Zajímalo mě, jak je ochrana řešená, když ne pomocí kontroly IP adresy. V článku to zmíněno není, proto jsem se podíval do zdrojového kódu (ani mě nepřekvapilo, že tam je v podstatě stejný dotaz do databáze položen šestkrát za sebou a kontrola je naprogramována metodou copy-paste), a zjistil jsem, že se nekontroluje nic. Takže útočníkovi stačí, když si během chvilky stáhne týdenní limit stránek a týden si diskusní příspěvek nikdo nepřidá. -
Dnešní záplata řeší kontrolu IP. Default verze nyní nepoužívá univerzální reload kontrolu a kontroluje reloady z konkrétní IP adresy. Starou kontrolu reloadu lze též použít s rizikem odstavení diskusního fóra.
Ochrana je řešena zápisem všech přístupů do databáze za poslední týden (lze zvolit i jiný interval). Není pravda, že se nekontroluje nic. Týdenní limit tam sice je, ale lze jej vyčerpat podle týdenního limitu, pokud se nepřesáhne 24 hodinový, hodinový limit atd. Nelze to provést během chvilky. Můžete si to zkusit na diskusi na kregion.cz. Tam je i opravená verze s kontrolou IP.
-
MJ (neregistrovaný)Nevím nevím, ale přijde mi, že tenhle systém je ještě otravnější než CAPTCHA a ještě méně účinný -- písmenka se dají snadno OCR-kovat, typů dotazů je natolik málo, že si je lze zapamatovat a překlepy obejít minimalizací editační vzdálenosti. Zkrátka cvičení na pár hodin pro kohokoliv aspoň trochu vládnoucího programováním ... CAPTCHA byla na louskání aspoň zajímavá a navíc dala vzniknout zcela novému odvětví ekonomiky (konkrétně opisování obrázků na zakázku) ;-)
-
AraxoN (neregistrovaný)Banovanie IP adries (blacklisting) funguje už dlho v prípade e-mailu. Problém spamu to možno zmierňuje, ale ako konečné riešenie to rozhodne nestačí. Spamy sa väčšinou posielajú zo zombie počítačov, takže pre spamera nie je problém mať každú chvíľu inú IP. IPv6 tento problém nijak neovplyvní, iba ak negatívne. Teraz je možné providera so zombiami za NAT-om zabanovať a tým ho donútiť riešiť si zombie vo svojej sieti. Keď ale bude mať každý jeho zombík svoju IP, tak blacklist bude účinný o to menej.
-
JardaP (neregistrovaný)vas prispevek je ten nejdulezitejsi v teto diskuzi a bohuzel presne odpovidajic vasi vypovedi pro vetsinu irelevantni, protoze se nezabyva s nejakym mini-aspektem z toho clanku.
Ale jak na to jit ??, ne snad vymytit ten prumer ale spise treba umoznit kontakt tem, kteri maji co rici ... je to priznam velmi tezke ... sam se utapim denne v tom bahne tech informaci ... -
trin (neregistrovaný)zajimalo by me, jak autor pristupuje k otazce generovani takovychto "captcha" obrazku/otazek. Pokud bude generovat jednoduse typu : Z obrazku X opiste pismenka barvy Y, znacne tim omezi ulohu rozpoznavani a to jak fazi ocr, tak fazi slovniku (staci mi kontrolovat slova obsazena v otazkach a ne cely slovnik), tak fazi pochopeni otazky. Jazykove slozitou otazku muze polozit clovek, ale nenapada me algoritmus, jak generovat otazky v prirozenem jazyce (spolecne se spravnou odpovedi). Pokud pouziji jednoduchy generator, bude treba 1 otazka jazykove slozita, ale system otazek jazykove slozity nebude.
Myslim si, ze tento system je na prekonani jeste jednodussi nez Captcha. -
BrainLess (neregistrovaný)Napad to urcite neni spatny ale prijde mi to jako kladivo na komara. Ok chapu kdyz ma nekdo dynamicky web ma nejspise php/mysql. Ale pripada mi to jako trochu drahe reseni, z pohledu resourcu stroje na kterem to bezi. Napadlo me cca toto, strilim od boku tak me nekamenujte. Co mit pouze par grafickych primitiv ( ctverec/trojuhelnik/sestiuhelnik/kolecko :-) a nasledne vygenerovat z nejakych jazykovych primitv otazku typu "Kolik vidite x a kolik y". "Je vice x nebo y". Algoritmus by generoval otazkt nahodne a zaroven "pocital spravnou odpoved".
Jako hlavni benefit bych vydel odlehceni CPU, misto vecneho generovany PNG a vyuzivani DB. Proc vubec pouzivat DB ? Vzdyt by stacil docasny soubor pro kazdou session ?. -
Proc vubec pouzivat DB ? Vzdyt by stacil docasny soubor pro kazdou session ?. - vy jste ale odbornik. My optimalizujeme web na tema "musime zabranit tomu aby si MySQL vytvarelo docasne soubory, protoze to priserne zdrzuje" a odbornik by si pro kazdou session vytvarel docasny soubor ... spravne nakonfigurovana databaze je VZDY rychlejsi nez docasne soubory, protoze za timto ucelem byla vytvorena !
-
trin (neregistrovaný)to nebyl napad, ale nastineni problemu. Proste kdyz budete generovat otazky z "jazykovych primitiv", vzniknou otazky, ktere je jednoduche algoritmicky zodpovedet. Bez ohledu na to, jak se jedna kazda z otazek muze zdat slozita. Musite pocitat s tim, ze spammer zna zdrojak, takze vi jak otazky generujete.
-
lobo (neregistrovaný)podla mna by tam mohlo riesenie nejakej mensej sustavy diferencialnych rovnic a nejaky obrazkovy kviz potom este cele to rozhodit podmienkami po dalsich 5 strankach, ze klikni sem ked je mesiac 3 dni po splne a este nie je letny cas a byvas v meste s poctom obyvatelov mensim ako 10000
-
radekm (neregistrovaný)Jak tak na to koukam, staci v tve ceske implemetaci zjistit
jsou-li ve tretim slove pismena na slozeni textu "pravo" resp. "levo"
(znaky musi byt v odpovidajicim poradi tedy "pravvo", ale ne "prvvao")
a testovat posledni slovo, nejde-li z jeho pismen slozit nazev barvy.
Dale je videt, ze veta s 5 slovy je kladna (hledame znaky v pozadovane barve),
veta s 6 slovy je zaporna (znaky majici danou barvu nechceme). A je to!.
Vtip je v tom, ze se to nikomu nebude chtit obchazet - leda ze by to bylo
na vetsim serveru, coz neni. Pro mensi servery ale urcite staci
nejake reseni, ktere nebude obtezovat uzivatele.
Radek -
P (neregistrovaný)v nasi sluzby gbook na webtools.artysite.net vyuzivame dvojitou antispam achranu - a to casovou (skrytou) a captcha (obrazkovy kod) zatim zadne problemy se spamem nejsou diky Bohu. myslim, ze jsme v tomto docela dobre pokrocili :)
mam v planu jeste lepsi ocharu, ale zatim ji nebudu prozrazovat, pokud se mi ji podari implantovat bude bezkonkurencni :) -
Gringo (neregistrovaný)Asi jsem trotl, neb jsem se dohrabal k příkladu, kde ač je zadání v češtině, mám úspěšnost přijetí kódu asi 50%. Navíc okořeněné nutností dočasně zvýšit mozkovou aktivitu. Pikantní bylo nepřijetí kódu kvůli záměně slova "černě" a "červeně". Někde někdy někdo myslím řekl nebo napsal: "Nenuťte uživatele přemýšlet." A to je přesně to co tenhle paskvil dělá - nutí uživatele přemýšlet. A nutí je sakra hodně.
-
rony (neregistrovaný)Vyborne :-) az na to, ze intelektualne vyvinuta praca programatora tohto systemu plus zvysena narocnost kladena na kazdeho komentatora = vacsi 'opruz' pre tych poctivych a nulovy ucinok na spammera :-)
takze, pokial budete venovat kvantum casu svojho ako aj citatelovho k tomu, aby ste eliminovali spam, tak zistite, ze nakoniec vam vasu metodu niekto proste surovo napadne DoS utokom zombie strojov, ktore budu donekonecna vyplnat nahodne znaky ;-) az sa jedneho dna trafia a vlozia ;-)
Jedina metoda akou sa zabezpecit proti spamu je FORM spamerskym robotom proste NEUKAZOVAT. Ak ho nevidia, tak ich ani nebude lakat cokolvek sa co i len pokusat vlozit :-)
To, co teraz radim uz existuje a mne osobne viac ako rok spolahlivo funguje.
Niekolko desiatok krat som riesenie popisoval ale vzdy sa najde hlupak (nemyslim tym autora clanku, aby si to nebral osobne), ktory si mysli, ze vymysli nieco okruhlejsie ako koleso ;-) -
dejf (neregistrovaný)Jak se v diskusi ukazalo, jedna se o ochranu zejmena pred uzivateli barvoslepymi - asi polovina populace nedokaze presne urcit vsechny barvy. Dale o ochranu pred uzivateli bez ceske klavesnice - to je taky uzitecne, doporucil bych to RADo Hulanovi, ten trva na prispevcich s diakritikou.
Problem vsech techto ochran je v tom, ze v urcity okamzik skrz ne bude schopen projit jen pocitac a clovek nikoliv. Toho by mozna stalo za to vyuzit, napsat nejaky jednoznacny test, kde clovek udela nutne chybu a pocitac nikoliv.
Pekny priklad byl zminen v diskusi, dat poli nazev URL a chtit v nem aktualni rok, to je trivialni a mnohem ucineji fitruje lidi a pocitace, nikoliv lidi a lidi.
Nenutte uzivatele premyslet je marketingovy pristup microsoftu, celkem funguje, spousta lidi, kteri byli schopni v dobe DOSu editovat config.sys a autoexec.bat jsou dnes schopni si splest disketu a CDko. Za widle se plati penezi, za linux znalostmi, takze neni problem v testu, ktery donuti trochu zapremyslet - odfiltruje uzivatele, kteri stejen nemeli co rict, ale je problem v testu, ktery vyzaduje primarne nejakou dovednost ci driver.
Nedavno jsem zaregistroval test zalozeny na wikipedii - inu cekam kdy ji spameri shodi pri hledani odpovedi :)
ČLÁNKY DO MAILU