SJ CAPTCHA Lite: невидимая защита от спама

Спаму не место на блоге!

Собрав большую статистику по спам-ботам, я решил несколько видоизменить плагин SJ CAPTCHA — причем в сторону упрощения. Причин тому несколько: Проверка FCrDNS оказалась чрезмерно эффективной: да, она спасает от спам-ботов. Но, к сожалению, из-за большого радиуса кривизны рук некоторых провайдеров, которые не могут нормально PTR-записи прописать (или поставить им в соответствие A-записи), отсеиваются и вполне нормальные пользователи. [...]

← Вернуться к полной версии записи «SJ CAPTCHA Lite: невидимая защита от спама»…

Автор: ; опубликовано в: Плагины WordPress; метки: captcha, SJ CAPTCHA, SJ CAPTCHA Lite, WordPress, плагин, спам
6
Сен
2008
«
»

RSS Комментарии к статье «SJ CAPTCHA Lite: невидимая защита от спама» (23)

  1. Vladimir
    Сентябрь 6, 2008 в 10:51

    Адреса, с котрых режется больше всего спама:

    118.175.255.10
    192.192.35.235
    202.28.27.3
    202.75.144.62
    203.121.133.22
    213.253.169.130
    217.113.18.130
    218.27.148.66
    62.149.67.49
    78.132.160.116
    80.90.160.45
    82.207.89.105
    83.138.140.52
    83.138.162.78
    85.172.19.238
    89.31.88.150
    92.113.12.41
    92.61.33.82

    Их можно добавить, например, в .htaccess:

    [-]
    View Code Apache configuration
    Order Deny,Allow
    Deny from 118.175.255.10 192.192.35.235 202.28.27.3 202.75.144.62 203.121.133.22 213.253.169.130 217.113.18.130 218.27.148.66 62.149.67.49 78.132.160.116 80.90.160.45 82.207.89.105 83.138.140.52 83.138.162.78 85.172.19.238 89.31.88.150 92.113.12.41 92.61.33.82
    Allow from All
  2. Максим Покровский
    Сентябрь 6, 2008 в 18:23

    Скачал, попробую потестить.

  3. DimoninG
    Сентябрь 13, 2008 в 01:19

    “А если роль спам-бота играет человек, то она вообще никак помочь не сможет” – в этом случае бесполезны все капчи. А по поводу Вашей… В общем, я в капчи мало верю. Только в те, что с изображением. Аксиметы всякие и прочее – это не помогает на 100%, а если не на 100%, то в капче мало смысла.

  4. Vladimir
    Сентябрь 13, 2008 в 11:04

    В подобном поединке “человек – компьютер” компьютер всегда проигрывает. Любую капчу можно расшифровать, было бы желание.

    Только в те, что с изображением

    Когда я использовал SJCaptcha, у меня спама вообще не было. Я знаю слабые стороны этой капчи, но также знаю несколько способов их усиления (на всякий случай). Просто мне неинтересно использовать капчи с изображением и прочим, ибо они отрицательно сказываются на usability. Мне интереснее найти вариант, автоматически отсеивающий хотя бы 98-99% спамеров. Кстати, такой вариант есть — FCrDNS + DNSBL, но из-за большого радиуса кривизны рук многих провайдеров от него будут страдать невинные пользователи.

    Есть, конечно, всякие полумеры типа разрешения комментирования только зарегистрированным пользователем и установкой охренительной капчи на форме регистрации, но опять же, это не наш путь.

    а если не на 100%, то в капче мало смысла

    Не согласен… Проще удалить один-два спам-комментария, чем выгребать их десятками.

  5. Vladimir
    Сентябрь 13, 2008 в 11:34

    Напишу пару идей, может быть, кто-нибудь реализует…

    1. Некоторые спам-боты делают POST, не делая перед этим GET — с ними бороться проще всего (например, метод “изящного отсеивания” здесь дает 100% результат).
    2. Не все боты воспринимают cookies правильно — если задать несколько cookies с одинаковыми именами, но разными путями, некоторые боты воспринимают только последний из них. Надо бы спеки перечитать, убедиться, какая из кук должна посылаться (я считаю, что с наиболее подходящим доменом/путем, но это моё мнение).
    3. Проверить, как спам-боты реагируют на Expect: 100 Continue.
    4. Проверить, как боты парсят форму комментирования: что будет, если создать две формы — невидимую для ботов и видимую для людей?
    5. Попробовать поиграться с именем файла wp-comments-post.php. Например, использовать в форме другое имя, которое будет переписываться через mod_rewrite в wp-comments-post.php с каким-нибудь параметром.
    6. Реализовать кросс-платформеннуюю проверку существования A- и MX-записей почтовых доменов.
    7. Все проанализированные мной спам-боты, загружающие страницу перед оставлением комментария, не загружают ни скрипты, ни графику, ни CSS. Это отличает их от нормальных пользователей. Единственная проблема — как их отличить от пользователей lynx? И загружают ли браузеры мобильных телефонов frame/iframe?
    8. To be continued
  6. Vladimir
    Октябрь 20, 2008 в 21:56

    Настало время эти идеи реализовывать, ибо спамеры охренели.

  7. unreg
    Декабрь 23, 2008 в 16:57

    Привет, огромное спасибо за такой простой и эффективный плагин.
    Я новичек в вордпрессе, помогаю другу делать его творческий проект, у меня возник вопрос как поднять картинку с цифрами и форму ввода капчи выше, сейчас у меня она после кнопки “оставить комментарий”. Я вроде понял что копать нужно в comments.php шаблона, но не пойму что.

    Заранее благодарен за ответ и еще раз спасибо за plug-in.

  8. Sexton
    Февраль 13, 2009 в 12:38

    После установки вашего плагина у меня на WordPress 2.7.1 RUS с mywordpress.ru перестала работать регистрация новых пользователей. Вылетало с “Ошибка: не верно сформированный запрос”. Убрал плагин – регистрация заработала.
    Есть идеи как решить проблему?

  9. Sexton
    Февраль 14, 2009 в 11:11

    При установке AJAXed WordPress в комментариях опять “Ошибка: не верно сформированный запрос” :(

    • Vladimir
      Февраль 14, 2009 в 21:11

      AJAXed WordPress не отсылает на сервер поля, которые добавляет SJ Captcha Lite. В результате получается неверно сформированный запрос.

      Лечение — ковыряться в коде плагина.

      • Sexton
        Февраль 15, 2009 в 10:17

        Я вообще от AJAXed WordPress отказался. У меня он нихрена не работал.
        Так что вопрос снимается.

  10. alexpts
    Февраль 14, 2009 в 17:40

    Очень пугает фраза “на свой страх и риск”.

    • Vladimir
      Февраль 14, 2009 в 21:13

      У меня далеко не всегда есть возможность оказывать поддержку пользователям. А еще обновления выходят только тогда, когда есть свободное время и я не в разъездах по стране. Поэтому на свой страх и риск :-)

  • 1
  • 2
Вперёд »

Пожалуйста, не используйте эту форму для комментирования! Данная форма предназначена исключительно для ботов.

गते गते पारगते पारसंगते बोधि स्वाहा