Walka z wiatrakami
Pigul - 2007-08-31, 09:22 Na początku chcialbym podziekowac redaktorowi Rzeczy Kołobrzeskiej za szybkie wskazanie problemu, ktory mozna bylo usunac natychmiast. Pozwolilem tez sobie napisac o tzw. walce z wiatrakami. Moze wy macie jeszcze jakies pomysly na lepsze zabezpieczenia naszych serwisow. "Co by nie zrobil administrator serwisu nigdy nie wygra ze zlosliwym oprogramowaniem. To wieczna walka. Nawet system zabezpieczen CAPTCHA - blokowanie automatów stosowanych przez spamerów, wykorzystujące zaszumione obrazki, z których rejestrujący się uzytkownik musiał przepisać kilka liter, by założyć konto na forum lub umieścić komentarz do tej pory spisywało się rewelacyjnie. Niestety spisywało się. Test CAPTCHA działał obosiecznie - odfiltrowywał zarówno spamujące automaty, jak też niedoświadczonych użytkowników. Dziś jego siła znacząco osłabła: użytkownicy nauczyli się czytać coraz bardziej powykręcane litery, a spamerzy stworzyli wystarczająco inteligentne automaty. Jak donosi blog PandaLabs, za 450 dolarów można kupić program XRumer, który zdoła się zasypać spamerskimi odsyłaczami większość popularnych forów dyskusyjnych, modułów komentarzy, itd. Zasada jest prosta: XRumer rejestruje się jako legalny użytkownik - rozpoznając znaki w teście - a następnie zaśmieca forum odsyłaczami do witryny kogoś, kto go zakupił. Na jego ataki nie są odporne exBB, IconBoard, Invision Power Board, phorum.org, phpBB, PHP-Nuke, UltimateBB, VBulletin oraz yaBB. Potrafi generować do 1100 odsyłaczy w 15 minut. Maskuje się wykorzystując serwery proxy, dlatego nie można go unieszkodliwić przez zastosowanie blokady [zakresów] adresów IP. Kolejną możliwością ochrony przed robotami jest odpowiednie przygotowanie pliku robots.txt i umieszczenie go w katalogu głównym serwisu. Tam można ustawić jakie katalogi i strony i przez jakie roboty mają byc indeksowane. Jednak przy tej ogromnej ilości powstawania nowych robotow jest to bardzo mozolna praca. Mozna oczywiscie ustawic zakaz indeksowania calej zawartosci strony: User-agent: * Disallow: / Ale wtedy strona przestanie istnieć serwisach takich jak google, i inne a pozycjonowanie idzie w pole. Mozna tez blokowac zakresy adresow IP, ale to też działa obosiecznie. Przy okazji zatrzymania największych spamerów, blokuje się często w zakresie adresów IP roboty indeksujące nasze serwisy, takie jak: google, yahoo, MSN, WP, itd, ponieważ czesto ataki sa wykonywane z serwerow tych firm. Nic tu nie daje nawet blokowanie adrsow .ru i innych. Dlatego wazna jest wiedza uzytkownikow i chec niesienia wsparcia. Jesli widzimy komentarz w ktorego tresci zawarte jest sekwencja: casyno seks poker, to nie klikajmy w ten link, a poinformujmy administratora, zeby takowy komentarz usunal i dodal do bazy kolejny adres IP do zablokowania. To bedzie odwieczna walka, ale innego wyjscia nie ma. Prognozy specjalistow mowia jasno, ze za kilka lat korzystanie z internetu stanie sie nie mozliwe, a zagrozenia ze strony spamerow, tworcow wirusow beda globalna epidemia nie do rozwiazania". r00t - 2007-08-31, 09:55 ...jest bardzo prosty sposób na to - nie stosowanie publicznie dostępnych zabezpieczeń. Podobny problem był na naszym forum. Rejestrowało się tutaj mnóstwo różnego rodzaju śmiecia - teraz jest spokojnie. Jak się obronić? Edytor PHP i do boju. Należy tak zmodyfikować istniejące zabezpieczenia, żeby bot nie dał sobie rady. Najlepiej nie korzystając z żadnego przepisu z sieci. Wcale nie musi to być nie wiadomo jaka procedura - wystarczy np. jedno dodatkowe pytanie o cokolwiek (kolor, cyfrę, sumę cyfr, dopisanie cyfry). To nie jest trudne do implementacji w PHP, nawet dla początkującego programisty. Im więcej różnorodnych "bezpieczników" na naszych forach tym trudniejsze staje się napisanie uniwersalnego bota... a o to właśnie chodzi. na razie na forum.tkk.pl jest spokój. Jak się zaczną pojawiać śmieci znowu to coś "namieszam" przy rejestracji. Dla człowieka będzie to pestka dla programu za 450$ wielki problem Pigul - 2007-08-31, 11:53 masz racje - nie pomyslalem o mozliwosci odpowiedzi na zadane pytanie przy rejestracji. W tej sytuacji moge lekko rozwiazac problem z zarejestrowanymi, ale co z niezarejestrowanymi. mam im ograniczyc uprawnienia tylko do "czytania", czyli wymusic rejestracje? Nie chodzi tez o roboty spamerskie ale o np. produkujace ogromne transfery. eliminacja pul adresow IP jest ryzykowna bo mozna zamknac dostep do serwisu komus kto takowym gow... internetowym nie jest. jest to cholernie ciezki problem i z gory przegrana sprawa, chyba ze zablokuje sie calkowicie mozliwosc komentowania a ankietach, artykulach, wylaczy sie modul rejestracji a zostawi tylko tresci do czytania. a w sprawach komentowania tego co sie dzieje odsylac na forum.tkk.pl r00t - 2007-08-31, 12:35 ...jeżeli chodzi o komentarze w serwisie to sprawa wygląda tak samo. Po prostu do formularza na komentarz dodaje jakieś proste pytanie i sprawa załatwiona. Użytkownicy nie muszą się rejestrować. Im mniej standardowy pomysł wydumasz tym lepiej. Warto też zabronić umieszczania URL'i w komentarzach. Dobre skrypty mają taką opcję już zaimplementowaną + inne bajery do analizy treści komentarza.
|