Tisk

Prosíme přihlašte se nebo zaregistrujte.
1 hodina 1 den 1 týden 1 měsíc nastálo
Přihlašte se svým uživatelským jménem a heslem.

[Elemir]

Už je to několikátý den, co se na fórum opět registrují spamboti (tedy alespoň si myslím, že je to bot ). Implementovaný antispam je přitom funkční, takže si myslím, že bot našel skulinku jinde v kódu miniBB a umí filtr díky tomu obejít. S tím mnoho nenadělám, byť jeden nápad ještě v záloze mám. Důvodem je ne zrovna ideální struktura kódu miniBB a hledat v něm někde zadní vrátka ... to už si rovnou to fórum můžu napsat sám

Povinná registrace tudíž nic neřeší a hlavně nechci nikoho zbytečně omezovat. Na stránkách autorů se sice objevila nová verze + možnost instalace různých doplňků, jenomže jak už to bývá, zatímco samotné jádro fóra je zdarma, doplňky už nikoliv Přijde mi navíc dost ujeté, abych si platil za něco, co si umím naprogramovat sám. Nikdo taky nezaručí, že update s patřičným doplňkem problém vyřeší. Protože se tu spamboti objevují vždy nad ránem, zkusím ještě jednu úpravu, o jejíž funkčnosti se tak hned ráno budu moci přesvědčit a pokud nezabere, tak nejspíše fórum dočasně odstavím a zkusím najít jiné řešení. Množství příspěvků je celkem velké a nemám v úmyslu tu každé ráno všechno promazávat.

Poslední dobou začíná být spam problémem i na mnoha jiných, dosud odolávajících, fórech. To se týká i fór postavených na phpBB. Bohužel s tím nelze bojovat donekonečna a zároveň udržet dostatečnou volnost. Je klidně možné, že řešení nenaleznu žádné, nebo nebude nakonec natolik trvanlivé, aby se tu boti neobjevily znovu. V úvahu tak přichází vlastní programové řešení nebo sáhnout po phpBB a nasadit tvrdé restrikce - povinná registrace s potvrzením přes email.

Topic zůstává volný, takže se kdokoliv může k problému vyhádřit.

[Winterson]

Buď bych zavedl captcha (je to sice opruz, ale pokud vím tak docelá účinný). Jenom občas to tady žije jako chat.

V případě že by tohle nepomohlo, nebránil bych se registraci.

[Adam23]

Tak kapču určitě ne, tu já nesnášim Na všech fórech, kde přispívám (a tím pádem mne hodně zajímají) jsem se registroval, takže za mě povinnou registraci. I když jestli to chápu, pokud by byla kapča pouze při registraci, tak to už mám za sebou, hlavně né při loginu nebo tak

[Elemir]

Upřímně řečeno, já captcha taky moc nemusím, v případě povinné registrace jsem spíš pro variantu emailového potvrzení registrace, ale ... má to své "ale" (Technicky vzato, jde pro změnu o práci se smtp serverem na hostingu a ten má limit na odesílání zpráv za časový úsek, paradoxně by to mohlo být kontraproduktivní.) Pokud by se na captcha dalo spolehnout, pak by to stačilo. Ostatně restrikce se dají zvýšit vždycky

Ještě můžu kouknout, kolik zhruba příspěvků je sem vkládáno ze strany registrovaných a neregistrovaných uživatelů. Je třeba pravdou, že je tu ve skutečnosti hodně registrovaných uživatelů, kteří ještě vůbec nic nenapsali.

Možná by vůbec nebylo od věci udělat si tu i menší whishlist, kdo by co rád ve fóru uvítal Mám na mysli třeba vkládání obrázků apod.

Ze zvědavosti jsem koukal, jaké reference má miniBB u nás po letech. Oklikou jsem se dostal opět na svůj vzor ve výběru diskuze (www.jakpsatweb.cz) a koukám, že Yuhů to vyřešil docela šalamounsky. V podstatě předělávají kód fóra Našel jsem i jeho jeden starší příspěvek ke struktuře miniBB a jsem rád, že to s tou strukturou nevidím blbě jen já. Jenom nasazení současného spamfiltru byla metoda pokus-omyl, kam umístit koncovou závorku své podmínky, protože logická posloupnost jednotlivých IFů původní smyčky mě dokonale rozhodila. Funkční byla nakonec ta nejméně pravděpodobná varianta a to je možná taky celý problém současného selhání (?) Přirovnal bych to k Sudoku, kdy máte k dispozici jen velmi málo odkrytých čísel a namísto logického odvozování musíte domýšlet kombinace (v případě miniBB uvažovat, odkud se tady k sakru vzala tahle proměnná ... )

Edit: Nakonec jsem tu měl i polední návštěvu Mno, k večeru jsem zkusil první variantu úpravy a teď čekám. Při té příležitosti jsem si alespoň udělal dokumentaci ke změnám kódu, to jsem taky léta odkládal Moc si od toho neslibuju, ale nejprve potřebuju zjistit, jestli spamboti opravdu obcházejí filtr nebo už dokázaly ochranu jen "přečíst".

[Elemir]

Vstával jsem docela s očekáváním, jak to bude vypadat a kolik toho budu muset mazat, ale musím zaklepat, zatím nic. Já jsem si asi možná docela naběhl sám. Přestože původní filtr fungoval bezmála rok bez problémů, tak obsahoval kus nevyužívaného kódu pro automatické doplnění, což je v dnešní době už asi kámen úrazu. Svým způsobem byla jen otázka času, kdy se spamboti naučí pracovat i s JavaScriptem.

[Elemir]

Od 2.1. do 3.1. jsme tu zas měli hezkou řádku spamu. Oproti minulejšku už poněkud sofistikovanějšího. První bot prošel bez problému registrací, když jsem mu ji zrušil a příspěvky smazal, tak druhý den poslal příspěvky už bez ní Chráněny jsou kontrolní otázkou samozřejmě obě cesty, ale boti nejspíše dokáží jednoduchým otázkám porozumět. O to hůře, pokud jsou skryté kvůli uživatelské přívětivosti JavaScriptem. Kontrolní otázka se proto bude muset vyplňovat ručně ke každému příspěvku před odesláním.

Zatím to pomohlo, takže jen doufám, že někde v kódu miniBB nejsou hezká zadní vrátka, která by umožnila přímý přístup. V jednu chvíli to tak vypadalo. V Knize návštěv je vše při starém, je vidět, že útoky cílí jen na "známá" fóra. Dokonce mě v této souvislosti napadlo, že bych možná měl fórum komplet přepsat Uvidíme, jak dlouho bude současná úroveň ochrany fungovat.

[Yuyana]

No vzdycky muzes zkusit polozit tu kontrolni otazku jinak :-p. nebo tam nasekat gramaticky chyby :-p. Hlavne ne neprehledny ramecky pny necitelnejch pismenek, ne, prosiim :-D, taky je nemam rada :-D.

Spam nikdy nepochopim, ale mnohem vic me fascinuje, ze... ze to musi mit nejakej efekt, kdyz to lidi delaj... To me desi. Jako v e-mailu. Vazne si nekdo obednava zazracny pripravky na erekci a na hubnuti? Lidstvo je ztraceny.

[Elemir]

Když tenhle způsob ochrany odesílání příspěvků začínal, tak stačilo opravdu málo. Jednou z výhod je totiž čeština jako taková. Později se ukázalo, že by v otázce něměla být jednoduchá číselná hodnota přímo formou čísla, později ani číselné rovnice a nakonec i popisky plus, minus apod. Díky pokročilosti translatorů už si boti umí poradit.

U známých a rozšířených aplikací se radilo i přejmenování sloupců tabulek v databázi, což funguje celkem spolehlivě jen tehdy, pokud si robot nedokáže všechny potřebné údaje vytáhnout z odesílacího formuláře. Na druhou stranu to není ani moc triviální a pokud to program neumožňuje uzpůsobit v nastavení, pak je třeba se hrabat v kódu. Spíš se to vyplatí u vlastní "výroby". Vlastní výroba pak má i tu výhodu, že boti se na ní kvůli "ojedinělosti" cíleně neadaptují, takže si to vystačí opravdu s málem.

Napadání různých formulářů je dobře patrné i v Síni slávy. Občas tam nějaký bot své zázračné odkazy propašuje Dřív či později řada ochran přestane fungovat. Zůstaly tedy stále ještě dvě možnosti. Upravit ty jména sloupců a otázku náhodně měnit. Obrázky určitě ne

Jinak ke spamu jako takovému. V tom posledním přípdadě jsem si zkopíroval IP adresy a podíval se, odkud to je. Dva byly z Číny a dva z USA. Ono to zázemí je dost sofistikované. Celý spamerský aparát určitě něco stojí, takže se to nejspíše musí vyplácet. Párkrát mě na fórech překvapil typický spamerský post, který ovšem ukazoval na normální zaběhnutý seriózní obchod. Prostě reklamní společnost se s tím nechtěla patlat a tak to postoupila jinam a objevilo se to formou spamu. Nevyužívá se to jen kvůli prodeji jako takovému, ale množství odkazů zlepšuje pozici při běžném vyhledávání.