בעקבות ריבוי הספאם

Gabriel · ב' מאי 14, 2007 1:25 pm

בזמן שאני כותב את ההודעה הזו, חמש ההודעות הראשונות בכל אחד מהפורומים הן ספאם שנכתב על ידי אורחים.

גורדי, אתה יכול להכניס דרך הפורום אפשרות שאורחים יצטרכו להכניס קוד כדי לכתוב הודעה (דוגמת אנדרדוגס ורבים אחרים) ?
אולי שווה לנסות את זה, אני חושב שזה יצמצם את התופעה משמעותית.

א ני · ב' מאי 14, 2007 2:29 pm

זה יכול גםלהוריד את הגולשים בפורום

C-man · ב' מאי 14, 2007 2:48 pm

זו מכת ספאם חדשה..

בעבר כבר ידעתי את גורדי והוא חסם אפשרות לאורחים לשלוח הודעות עם יותר מ 5 לינקים (ההודעות בעבר היו עם המון לינקים). אי אפשר לכתוב הודעות בפרקי זמן קצרים (לא יודע כמה), והוא חסם גם כמה מילות מפתח שהיו ברוב ההודעות.

בכל מקרה, אני עכשיו אספתי את התוכן של ההודעות לפני שמחקתי אותן ואני אשלח אותן לגורדי כדי שיחסום אותן (פתרון מיידי עד שיחליט אם לישם עוד מנגנוני אבטחה).

[עריכה]

גם יש מנגנון בהרשמה שאמור לחסום בוטים מלהרשם (למרות שיש מספר דרכים לעקוף כאלה).

שליחה על ידי Og » ב' מאי 14, 2007 3:18 pm

הבעיה העיקרית עם PHPBB היא גם הסיבה להיותו כ"כ מצליח: קוד פתוח.
יוצרי התוכנות שרצות ושולחות הודעות מבקרים תכופות באתר הבית של PHPBB וקוראים את הקוד של המנגנונים שאמורים למנוע מהם לפרסם הודעות ואז הם משנים את התוכנות שלהם בהתאם.

תוסף ההגנה הכי משמעותי(לעניות דעתי - אך אני לא מומחה בנושא) שאני ראיתי לPHPBBHEB הוא רכיב שמונע הודעות שבאות מכתובות IP של שרתי פרוקסי חינמיים.
בזמנו הצעתי לגורדי להתקין את התוסף אך אני לא זוכר מה הייתה החלטתו בעניין.

Gabriel · ב' מאי 14, 2007 4:13 pm

C-man כתב:גם יש מנגנון בהרשמה שאמור לחסום בוטים מלהרשם (למרות שיש מספר דרכים לעקוף כאלה).

מה הכוונה בבוטים?

[עריכה] עכשיו הבנתי.. בוטים כמו ב bots, לא כמו אנשים בוטים או להתנהג בבוטות..

[סוף עריכה]

Og כתב:הבעיה העיקרית עם PHPBB היא גם הסיבה להיותו כ"כ מצליח: קוד פתוח.
יוצרי התוכנות שרצות ושולחות הודעות מבקרים תכופות באתר הבית של PHPBB וקוראים את הקוד של המנגנונים שאמורים למנוע מהם לפרסם הודעות ואז הם משנים את התוכנות שלהם בהתאם.

תוסף ההגנה הכי משמעותי(לעניות דעתי - אך אני לא מומחה בנושא) שאני ראיתי לPHPBBHEB הוא רכיב שמונע הודעות שבאות מכתובות IP של שרתי פרוקסי חינמיים.
בזמנו הצעתי לגורדי להתקין את התוסף אך אני לא זוכר מה הייתה החלטתו בעניין.

אבל הפתרון המצריך הכנסת קוד לפני כתיבת הודעה הוא לא משהו שאפשר לעקוף בתוכנה.
אולי אפשר להוסיף הכנסת קוד כזה גם בעת תהליך ההרשמה.

שליחה על ידי Og » ב' מאי 14, 2007 4:34 pm

Gabriel כתב: אבל הפתרון המצריך הכנסת קוד לפני כתיבת הודעה הוא לא משהו שאפשר לעקוף בתוכנה.
אולי אפשר להוסיף הכנסת קוד כזה גם בעת תהליך ההרשמה.

א. כבר יש הכנסת קוד כזו בהרשמה(נוספה מזמן...), נסה להרשם ותראה.
ב. כנראה שכן אפשר לעקוף את זה בתוכנה כי כפי שאתה רואה, למרות הקוד בוטים נרשמים לאתר.
איך הם עוקפים את זה אני לא יודע, אולי אם יש לך את קוד המקור אתה יכול לחשב את הערך שיצא בתמונה בכל זמן נתון(כידוע לך רוב מחוללי המספרים הרנדומליים מסתמכים על השעה בכדי לחשב מס' רנדומלי) או שאולי הם עושים את זה ע"י עיבוד וזיהוי התמונה(את זה אני יודע שאפשר לעשות אם התמונה אינה מורכבת).
ג. כתיבת קוד לפני כל הודעה ממש תסרבל את כתיבת ההודעות, במיוחד למשתמשים קבועים. אני אישית ממש לא הייתי רוצה לראות את זה קורה.

C-man · ב' מאי 14, 2007 4:59 pm

אפשר לעקוף את זה ע"י שימוש בבני אדם: http://en.wikipedia.org/wiki/CAPTCHA#Human_solvers

(אגב, אותו טריק מיושם ב p2m propagator)

שליחה על ידי Og » ב' מאי 14, 2007 6:04 pm

אני יודע שאפשר, אבל לא חשבתי(ועדיין לא חושב) שזה פתרון ישים למפרסמי ההודעות...

C-man · ב' מאי 14, 2007 8:15 pm

לך תדע.. אולי הם עושים את זה:

קוד: בחירת הכל

 Another variation of this technique involves copying the CAPTCHA images and using them as CAPTCHAs for a high-traffic site owned by the attacker. With enough traffic, the attacker can get a solution to the CAPTCHA puzzle in time to relay it back to the target site.

ב' מאי 14, 2007 11:05 pm

לפי הלוג שעוקב אחרי המחיקה האוטומטית של הודעות ספאם (בזכות תוסף לפורום שמאפשר לסמן מילים מסוימות ככאלה המעידות על כך שהן חלק מהודעת ספאם) באמת נראה שבזמן האחרון כמות הספאם עלתה באופן משמעותי. העניין הוא (כפי שצוין קודם) שפגיעה בבוטים היא לעיתים פגיעה בגולשים ה"רגילים" (כמו במקרה של הקוד שצריך להכניס לפני כתיבת הודעה) ולכן אני מעדיף לא להכניס מנגנונים כאלה לפעולה.
התוספים שיש בפורום אמנם לא מספקים הגנה הרמטית, אבל הם מסננים יחסית הרבה ובדרך כלל בעזרתם אפשר להיות בטוחים שגם אם הבוט תקף את הפורום מספר פעמים, הוא לא ימשיך לתקוף ברגע שהמתקפה אותרה (בזכות מנגנון חסימת המילים).
את הפתרון ש-Og הציע יש לבדוק שוב, אך אם אני זוכר נכון השיקולים היו לא לחסום גולשים תמימים ולנסות להמעיט בתוספים (שמקשים על עדכון הפורום לגירסה חדשה יותר ועלולים להתנגש אחד בשני).

שליחה על ידי Og » ב' מאי 14, 2007 11:51 pm

עכשיו כשאני מסתכל שוב בעמוד המודים:
http://www.phpbb.co.il/mods/files.php?c=4
אני רואה שהחסימה המדוברת היא להרשמה ולא PER הודעה... מכיוון שרוב הספאם מגיע מאורחים אני לא חושב שהמוד הזה יעזור. חבל...

אולי כאן יגיעו לפתרון יצירתי:
http://www.phpbb.co.il/viewtopic.php?t=13946

Gabriel · ג' מאי 15, 2007 5:28 am

Og כתב:
Gabriel כתב: אבל הפתרון המצריך הכנסת קוד לפני כתיבת הודעה הוא לא משהו שאפשר לעקוף בתוכנה.
אולי אפשר להוסיף הכנסת קוד כזה גם בעת תהליך ההרשמה.
ג. כתיבת קוד לפני כל הודעה ממש תסרבל את כתיבת ההודעות, במיוחד למשתמשים קבועים. אני אישית ממש לא הייתי רוצה לראות את זה קורה.

כוונתי הייתה שרק אורחים יצטרכו להכניס קוד.

Gabriel · ג' מאי 15, 2007 7:33 am

Og כתב:הבעיה העיקרית עם PHPBB היא גם הסיבה להיותו כ"כ מצליח: קוד פתוח.
יוצרי התוכנות שרצות ושולחות הודעות מבקרים תכופות באתר הבית של PHPBB וקוראים את הקוד של המנגנונים שאמורים למנוע מהם לפרסם הודעות ואז הם משנים את התוכנות שלהם בהתאם.

אוקיי, אז במקרה כזה, האם זה אפשרי לתכנת פנימה איזשהו טריק - פשוט ככל שיהיה - לסינון
הודעות, שיהיה ייחודי רק לפורום הזה?

שליחה על ידי Og » ג' מאי 15, 2007 9:23 am

Gabriel כתב:אוקיי, אז במקרה כזה, האם זה אפשרי לתכנת פנימה איזשהו טריק - פשוט ככל שיהיה - לסינון
הודעות, שיהיה ייחודי רק לפורום הזה?

זה בדיוק, אבל בדיוק מה שאני חשבתי עליו כבר הרבה זמן ויש לי הרגשה שזה יעבוד בצורה חלקה, מה עוד, שאם זה יכלול טקסט בעברית (עד היום 99% ממפרסמי ההודעות לא היו צברים, ואלה שכן לא היו רובוטים) אז בכלל נגיע ל-0 הודעות ספאם.

לצערי רמת ההבנה שלי בPHP מקבילה לרמת ההבנה שלי בPascal (קרי: Nonexistent)...

א ני · ג' מאי 15, 2007 2:25 pm

אני חושב שאיך שהם נרשמים לא נחשב לבוטא לכן הם מצליחים לפרוץ

(יכול להיות שזה רובוטי פורום)