security - como - recaptcha v3 example
Cuando los bots atacan! (27)
¿Cuáles son algunos métodos populares de prevención de spam además de CAPTCHA?
Prueba Akismet
Captchas o cualquier forma de preguntas solo para humanos son horribles desde una perspectiva de usabilidad. A veces son necesarios, pero prefiero matar el correo no deseado utilizando filtros como Akismet.
Akismet fue originalmente creado para frustrar los comentarios de spam en los blogs de WordPress, pero la API tiene la capacidad de ser adaptada para otros usos.
Actualización : Hemos comenzado a usar la biblioteca de ruby Rakismet en nuestra aplicación Rails, Yarp.com . Hasta ahora, ha estado funcionando genial para frustrar los robots de spam.
Bloquee el acceso basado en una lista negra de direcciones IP de spammers.
Campos de formulario invisibles. Haga un campo de formulario que no aparezca en la pantalla para el usuario. usando display: none como estilo css para que no aparezca. Por motivos de accesibilidad, incluso podría colocar texto oculto para que las personas que usan lectores de pantalla supieran no llenarlo. Los bots casi siempre completan todos los campos, por lo que podría bloquear cualquier publicación que llene el campo invisible.
Captchas animadas - texto desplazable - aún son fáciles de reconocer por los humanos, pero si se asegura de que ninguno de los fotogramas ofrezca algo completo para reconocer.
pregunta de opción múltiple: todo lo que se necesita es un ______ y una sonrisa. La idea aquí es que el usuario tendrá que elegir / comprender.
variable de sesión: comprobar que una variable que inserta en una sesión es parte de la solicitud. frustrará a los tontos robots que simplemente generan solicitudes, pero probablemente no a los bots que se modelan como un navegador.
pregunta matemática - 2 + 5 = - esto nuevamente es para hacer una pregunta que sea fácil de resolver pero que evite que los bots generen una respuesta.
Cuadrícula de imágenes: crea una cuadrícula de imágenes. Seleccione 1 o 2 de un tipo en particular, como una imagen de 3x3 en cuadrícula de animales, y debe elegir todas las aves en la cuadrícula.
Espero que esto te brinde algunas ideas para tu nueva solución.
Dale al usuario la posibilidad de calcular:
¿Cuál es la suma de 3 y 8?
Por cierto: acaba de navegar por un enfoque interesante de Microsoft Research: Asirra.
http://research.microsoft.com/asirra/
Le muestra varias imágenes y debe identificar las imágenes con un motivo determinado.
He intentado hacer ''honeypots'' donde colocas un campo y luego lo ocultas con CSS (marcándolo como ''dejar en blanco'' para cualquiera con hojas de estilo deshabilitadas) pero he descubierto que muchos bots pueden pasarlo rápidamente. También existen técnicas como establecer campos con un valor determinado y cambiarlos con JS, calcular tiempos entre el tiempo de carga y envío, verificar la URL del referer y un millón de otras cosas. Todos tienen sus trampas y prácticamente todo lo que puedes esperar es filtrar tanto como puedas con ellos sin dejar de lado para quién estás aquí: los usuarios.
Sin embargo, al final del día, si realmente no quieres que los bots envíen cosas a través de tu formulario, vas a querer poner un CAPTCHA en él, el mejor que he visto que se ocupa de en su mayoría, todo es Recaptcha , pero gracias al mercado de soluciones CAPTCHA de la India y al ingenio de los remitentes de spam en todas partes que ni siquiera tienen éxito todo el tiempo. Me ahorraría usar algo que sea ''ingenioso'' pero que esté ''fuera'', ya que sería más un ''wtf'' para los usuarios que están al menos algo acostumbrados a sus CAPTCHA habituales.
He visto algunas ideas http://research.microsoft.com/asirra/ lo largo de las líneas de http://research.microsoft.com/asirra/ que le piden que identifique qué imágenes son gatos. Creo que la idea se originó en KittenAuth un tiempo ...
Impactante, pero casi todas las respuestas aquí incluyeron alguna forma de CAPTCHA. El OP quería algo diferente, creo que tal vez quería algo que realmente funciona, y tal vez incluso resuelve el problema real.
CAPTCHA no funciona, y aunque lo hiciera, es un problema equivocado, los humanos todavía pueden inundar su sistema, y por definición CAPTCHA no detendrá eso (porque está diseñado solo para decir si usted es un humano o no, no es que sea lo hace bien ...)
Entonces, ¿qué otras soluciones hay? Bueno, depende ... de su sistema y sus necesidades. Por ejemplo, si todo lo que intenta hacer es limitar la cantidad de veces que un usuario puede completar un formulario de "Contácteme", puede limitar el número de solicitudes que cada usuario puede enviar por hora / día / lo que sea. Si tus usuarios son anónimos, tal vez necesites ajustar el acelerador de acuerdo con las direcciones IP y ocasionalmente incluir una IP en la lista negra (aunque esto también se puede eludir y causa otros problemas).
Si se refiere a un foro o comentarios de blog (como este), bueno, cuanto más lo uso, más me gusta la solución. Una combinación entre usuarios autenticados, autorización (basada en la reputación, no es probable que se acumule a través de inundaciones), estrangulamiento (cuántos puede hacer al día), CAPTCHA ocasional y, finalmente, moderación comunitaria para limpiar los pocos que pasan: todo se combina para proporcionar una solución decente (Me pregunto si Jeff puede proporcionar cierta información sobre cuánto spam y otros malpostos realmente pasan ...)
Otro control a tener en cuenta (no sé si lo tienen aquí) es alguna forma de IDS / IPS: si puede detectar y reconocer el correo no deseado, puede bloquear ese patrón. La moderación llena esa necesidad manualmente, aquí ...
Tenga en cuenta que ninguno de estos factores previene el correo no deseado, pero reduce la probabilidad y, por ende, la rentabilidad. Esto cambia la ecuación económica y deja que CAPTCHA realmente proporcione el valor suficiente para valer la pena, dado que ya no vale la pena que los spammers se molesten en romperlo o evitarlo (gracias a los otros controles).
Las técnicas de Honeypot ponen un señuelo invisible en la parte superior de la página. Los usuarios no lo ven y envían el formulario correcto, los bots envían el formulario incorrecto que no hace nada o prohíbe su IP.
Las técnicas de evaluación de Javascript como este sistema Invisible Captcha requieren que el navegador evalúe Javascript antes de que se acepte el envío de la página. Retrocede muy bien cuando el usuario no tiene habilitado Javascript simplemente mostrando una prueba CAPTCHA convencional.
Lo siguiente es inviable con la tecnología actual, pero no creo que esté demasiado lejos. También es probable que sea excesivo para lidiar con spam en el foro, pero podría ser útil para registrarse en cuentas, o en cualquier situación en la que quisiera estar realmente seguro de que estaba tratando con humanos y ellos estarían preparados para que tome unos minutos completar el proceso.
Haga que 2 usuarios que intentan demostrar que son humanos se conecten entre sí a través de sus cámaras web y pregúnteles si la persona que están viendo es humana y en vivo (es decir, no una grabación), haciendo que, por ejemplo, reflejen los movimientos de los demás. o escribe algo en un pedazo de papel. Haga que todos lo hagan varias veces con diferentes usuarios y agregue algunas grabaciones a la mezcla, que también deben identificar correctamente.
Los Honeypots son un método efectivo. Phil Haack ofrece un buen método de honeypot , que podría usarse en principio para cualquier foro / blog / etc.
También puede escribir un rastreador que sigue los enlaces de spam y analiza su página para ver si es un enlace genuino o no. Lo más obvio serían páginas con una copia exacta de su contenido, pero podría elegir otros indicadores.
La moderación y la lista negra, especialmente con complementos como estos para WordPress (o lo que sea que esté usando, el software similar está disponible para la mayoría de las plataformas), funcionará en un entorno de bajo volumen. Si su entorno es de bajo volumen, no subestime la ventaja que esto le brinda. Decidir personalmente qué contenido es razonable y qué no lo hace le brinda la máxima flexibilidad en el control de correo no deseado, si tiene tiempo.
No olvide, como han señalado otros, que los CAPTCHA no están limitados al reconocimiento de texto de una imagen. La asociación visual, los problemas matemáticos y otras preguntas no subjetivas retransmitidas a través de una imagen también califican.
Los más comunes que he observado orientan acerca de la entrada del usuario para resolver acertijos simples, por ejemplo, de lo siguiente es una imagen de un gato. (mostrando imágenes de miniaturas de perros que rodean a un gato). O simples problemas matemáticos.
Aunque interesante, estoy seguro de que la carrera armamentista también abrumará a esos sistemas.
Ned Batchelder redactó una técnica que combina hash con honeypots para una prevención de bot maliciosamente eficaz. Sin captchas, solo código.
Está en detener spambots con hashes y honeypots :
En lugar de detener a los bots haciendo que las personas se identifiquen, podemos detener a los bots al dificultarles hacer una publicación exitosa, o al hacer que se identifiquen inadvertidamente como bots. Esto elimina la carga de las personas y deja el formulario de comentarios libre de medidas antispam visibles.
Esta técnica es cómo evito spambots en este sitio. Funciona. El método descrito aquí no mira el contenido en absoluto. Se puede aumentar con la prevención basada en el contenido, como Akismet, pero me parece que funciona muy bien por sí solo.
Para los moderadores humanos seguramente ayuda poder encontrar y eliminar fácilmente todas las publicaciones de algunos IP, o todas las publicaciones de algunos usuarios si el bot es lo suficientemente inteligente como para usar una cuenta registrada. Del mismo modo, la opción de bloquear fácilmente cuentas IP o cuentas durante algún tiempo, sin más administración, reducirá la carga administrativa para los moderadores humanos.
El uso de cookies para hacer que bots y spammers humanos crean que su publicación es realmente visible (mientras que solo ellos mismos la ven) evita que ellos (o trolls) cambien las técnicas. Deja que los spammers y trolls vean los otros mensajes de spam y troll.
Puede obtener algún software de ID de dispositivo. El41 tiene algún software de prevención de fraude que puede detectar el hardware que se utiliza para acceder a su sitio. Creo que lo usan para atrapar a los estafadores, pero podrían ser utilizados para detener bots. Una vez que haya identificado un dispositivo que está siendo utilizado por un bot, puede simplemente bloquearlo. La última vez que lo marcó, puede incluso rastrear su ruta a través de la red telefónica (¡no su Geo-IP!), Por lo que incluso puede bloquear un código postal si lo desea.
Es caro a través de tan apoyo. una mejor solución más barata que es un poco menos hermano mayor.
Puedes usar Recaptcha para hacer al menos un captcha útil. Luego puede hacer preguntas con problemas simples de matemáticas verbales o similares. http://research.microsoft.com/asirra/ de Microsoft http://research.microsoft.com/asirra/ hace encontrar fotos de perros y gatos. Requerir una dirección de correo electrónico válida para activar una cuenta detiene a los spammers cuando no obtienen los beneficios suficientes del servicio, pero también puede disuadir a los usuarios normales.
Recuerde hacer que su solución sea accesible para quienes no utilizan navegadores convencionales. La multitud de iPhone no debe ignorarse, y aquellos con problemas visuales y cognitivos tampoco deben ser excluidos.
Sé que algunas personas mencionaron ASIRRA, pero si vas a todos los enlaces de adoptarme para las imágenes, dirán en esa página vinculada si es un gato o un perro. Por lo tanto, debería ser relativamente fácil para un robot ir a todos los enlaces de adopción. Entonces es solo cuestión de tiempo para ese proyecto.
Un amigo tiene el método anti-spam más simple, y funciona.
Él tiene un cuadro de texto personalizado que dice "por favor escriba el número 4".
Su blog es bastante popular, pero todavía no es lo suficientemente popular como para que los bots lo descubran (aún).
Un método muy simple que no carga al usuario es simplemente deshabilitar el botón de enviar por un segundo después de que la página se haya cargado. Lo utilicé en un foro público que tenía mensajes spam continuos, y los detuvo desde entonces.
Un método popular en los foros es simplemente poner en cola los hilos de los miembros con menos de 10 publicaciones en una cola de moderación. Por supuesto, esto no ayuda si no tienes moderadores, o no es un foro. Un método más general es el cálculo de las relaciones de hipervínculo a texto. A menudo, las publicaciones de spam contienen una tonelada de hipervínculos, y puede atrapar mucho de esta manera. En la misma línea, comparamos el contenido de publicaciones consecutivas. Simplemente no permita publicaciones consecutivas que sean extremadamente similares.
Por supuesto, cualquier persona con conocimiento de las medidas que tome será capaz de evitarlos. Para ser sincero, hay poco que puedas hacer si eres el objetivo de un ataque específico. Más bien, debes enfocarte en prevenir ataques más generales y no calificados.
Utilice algo así como la etiquetadora de imágenes de google con las imágenes elegidas de forma tal que una computadora no sea capaz de reconocer las características dominantes que podría tener un ser humano.
Al usuario se le mostraría una imagen y tendría que escribir las palabras asociadas con ella. Continuarían mostrándose imágenes hasta que hubieran tipeado suficientes palabras que estuvieran de acuerdo con lo que los usuarios anteriores habían tipeado para la misma imagen. Algunas imágenes serían nuevas en las que no se estaban probando, pero se incluyeron para registrar qué palabras están asociadas a ellas. Dependiendo de su público, también podría elegir imágenes que solo ellos reconocerían.
simplemente verifique la dirección de correo electrónico y deje que google / yahoo etc. se preocupe por ello
http://chongqed.org/ mantiene listas negras de fuentes de spam activas y las URL que se anuncian en los spams. He encontrado que las publicaciones filtradas para este último son muy efectivas en los foros.
Mollom supuestamente es bueno para detener el spam. Ambas versiones personales (gratuitas) y profesionales están disponibles.
Sblam es un proyecto interesante.