Остановить спам без капчи

Требование Javascript для публикации данных блокирует изрядное количество спам-ботов, не мешая большинству пользователей.

Вы также можете использовать изящный трюк:

<input type="text" id="not_human" name="name" />
<input type="text" name="actual_name" />
<style>
   #not_human { display: none }
</style>

Большинство ботов заполняют первое поле, поэтому вы можете их заблокировать.

Я комбинирую несколько методов, которые пока кажутся довольно удачными:

1. Предоставьте полю ввода имя email и скройте его с помощью CSS display: none. Когда форма будет отправлена, проверьте, пусто ли это поле. Боты, как правило, заполняют это поддельным адресом электронной почты.

2. Предоставьте еще одно скрытое поле ввода, которое содержит время загрузки страницы. Убедитесь, что время между загрузкой и отправкой страницы больше минимального времени, необходимого для заполнения формы. Я использую от 5 до 10 секунд.

3. Затем проверьте, соответствует ли количество параметров GET ожидаемому. Если действие вашей формы - POST, а базовый URL-адрес вашей страницы отправки - index.php?p=guestbook&sub=submit, вы ожидаете 2 параметра GET. Боты пытаются добавить параметры GET, чтобы эта проверка не прошла.

4. И, наконец, проверьте, установлен ли HTTP_USER_AGENT, который иногда не устанавливается ботами, и что HTTP_REFERER является URL-адресом страницы вашей формы. Боты иногда просто отправляют POST на страницу отправки, заставляя HTTP_REFERER быть чем-то другим.

Я получил большую часть информации из http://www.braemoor.co.uk/software/antispam.shtml и http://www.nogbspam.com/.

Интегрируйте Akismet API, чтобы автоматически фильтровать сообщения ваших пользователей.

Если вы ищете решение .NET, в Ajax Control Toolkit есть элемент управления с именем NoBot.

NoBot - это элемент управления, который пытается обеспечить CAPTCHA-подобную защиту от ботов / спама, не требуя вмешательства пользователя. NoBot полностью невидим. NoBot, вероятно, наиболее актуален для сайтов с низким трафиком, где спам в блогах / комментариях является проблемой и не требуется 100% эффективности.

NoBot использует несколько различных методов защиты от ботов:

• Заставить браузер клиента выполнить настраиваемое вычисление JavaScript и проверить результат как часть обратной передачи. (Пример: вычисление может быть простым числовым или может также включать DOM для дополнительной уверенности в том, что задействован браузер)
• Применение настраиваемой задержки между запросом формы и возможностью обратной отправки. (Пример: человек вряд ли заполнит форму менее чем за две секунды)
• Применение настраиваемого ограничения количества допустимых запросов на IP-адрес в единицу времени. (Пример: человек вряд ли отправит одну и ту же форму более пяти раз за одну минуту)

Дополнительное обсуждение и демонстрация в этом блоге Жака-Луи Chereau на NoBot.

<ajaxToolkit:NoBot
  ID="NoBot2"
  runat="server"
  OnGenerateChallengeAndResponse="CustomChallengeResponse"
  ResponseMinimumDelaySeconds="2"
  CutoffWindowSeconds="60"
  CutoffMaximumInstances="5" />

Я был бы осторожен, используя уловки CSS или Javascript, чтобы убедиться, что пользователь действительно настоящий человек, так как вы можете создавать проблемы с доступностью, кроссбраузерностью и т. Д. Не говоря уже о том, что спам-боты могут быть довольно сложными, поэтому используйте симпатичный маленький дисплей CSS. уловки могут даже не сработать.

Я бы посмотрел на Акисмет.

Кроме того, вы можете проявить творческий подход к проверке пользовательских данных. Например, предположим, что у вас есть регистрационная форма, для которой требуются адрес электронной почты и адрес пользователя. Вы можете быть достаточно хардкорными в том, как вы проверяете адрес электронной почты, даже зайдя так далеко, что убедитесь, что домен действительно настроен для приема почты и что в этом домене есть почтовый ящик, который соответствует тому, что было предоставлено. Вы также можете использовать Google Maps API, чтобы попытаться определить местоположение адреса и убедиться, что он действителен.

Чтобы пойти еще дальше, вы можете реализовать «жесткие» и «мягкие» ошибки проверки. Если адрес электронной почты не соответствует строке проверки регулярного выражения, то это серьезная ошибка. Невозможность проверить записи DNS домена, чтобы убедиться, что он принимает почту или что почтовый ящик существует, является «мягкой» ошибкой. Когда вы столкнетесь с мягким сбоем, вы можете запросить проверку CAPTCHA. Мы надеемся, что это уменьшит количество раз, которое вам придется нажимать на проверку CAPTCHA, потому что, если вы получаете достаточно активности на сайте, допустимые люди должны вводить достоверные данные хотя бы в некоторых случаях!

Я понимаю, что это довольно старый пост, однако я наткнулся на интересное решение под названием «капча с медовым горшком», которое легко реализовать и не требует javascript:

Создайте скрытое текстовое поле!

• Большинство спам-ботов с радостью заполнят скрытое текстовое поле, что позволит вам вежливо их игнорировать.
• Большинство ваших пользователей даже не заметят разницы.

Чтобы пользователь с программой чтения с экрана не попал в вашу ловушку, просто пометьте текстовое поле «Если вы человек, оставьте поле пустым» или что-то подобное.

Тада! Ненавязчивая блокировка спама! Вот статья:

http://www.campaignmonitor.com/blog/post/3817/stopping-spambots-with-two-simple-captcha-alternatives

Поскольку 100% избежать этого крайне сложно, я рекомендую прочитать эту статью IBM опубликованный 2 года назад под заголовком «Real Web 2.0: борьба со спамом», в котором поведение посетителей и рабочий процесс управления анализируются хорошо и кратко.

Веб-спам бывает разных форм, в том числе:

• Статьи о спаме и вандализмы в вики
• Спам в комментариях в веб-журналах
• Публикация спама на форумах, в системе отслеживания проблем и других дискуссионных сайтах
• Спам реферера (когда спам-сайты делают вид, что направляют пользователей на целевой сайт, на котором перечислены рефереры)
• Ложные записи пользователей в социальных сетях

Работать с веб-спамом очень сложно, но веб-разработчик пренебрегает предотвращением спама на свой страх и риск. В этой статье и во второй части, которая придет позже, я представляю методы, технологии и службы для борьбы со многими видами веб-спама.

Также есть ссылка на очень интересную "... технику хеш-кеширования для минимизации спама в Вики-сайтах и ​​т. п., в дополнение к электронной почте. "

Как насчет удобочитаемого вопроса, в котором пользователю предлагается ввести первую букву значения, которое он ввел в поле имени, и последнюю букву поля фамилии или что-то в этом роде?

Или покажите некоторые скрытые поля, заполненные JavaScript, такими значениями, как referer и так далее. Убедитесь, что эти поля совпадают с теми, которые вы сохранили в сеансе ранее. Если значения пусты, у пользователя нет javascript. Тогда не было бы спама. Но бот хотя бы заполнит некоторые из них.

Обязательно стоит выбрать что-то одно - Honeypot или BOTCHA.