12

What mechanisms do you know that prevent your site from being abused by anonymous spammers.

For example, let's say that I have a site where people can vote something. But I don't want someone to spam something all the way to the top. So I found (a) creating an account and only allowed to vote once and (b) CAPTCHA to decrease spam. What other methods do you know and how good do they work?

4

11 に答える 11

17

alt text

From xkcd

于 2008-09-03T16:35:54.247 に答える
13

私が気づいた大きなことは、何をするにしても、システムを独自のものにしたいということです。攻撃者は、ほとんどどこでも機能する既存のスクリプトをサイトに投げ込むだけでなく、特定のサイトに合わせて自動化プログラムを調整する必要があります。暗号的に安全である必要さえありません。サイトを通常とは少し違うものにするだけです。

これは、事前に構築されたキャプチャ ウィジェットのようなものを使用できない、または使用すべきでないという意味ではありません。それらの1つを開始点として絶対に使用してください!これは、どこかでカスタマイズして、標準外の特別なことが発生し、通常はそれを打ち負かす可能性のある既存のスクリプトを壊す必要があることを意味します。

サイトが十分に大きくなり、特に攻撃者がそのサイトを標的にするようになった場合、単純で小さなカスタマイズはおそらく耐えられなくなり、もう少し特別なことをして、実際の暗号化などについて考える必要があるかもしれません. しかし、それは「良い」問題の1つです。

于 2008-09-03T16:41:08.697 に答える
9

CAPTCHAシステムの場合、reCAPTCHAを心からお勧めします。

従来のコンピューターで生成されたCAPTCHAは、十分にインテリジェントなシステムを開発することで最終的には機能しなくなります。たとえば、以前は壊れないと考えられていたGoogleCAPTCHAを30%のヒット率で壊したと主張する人がいます。reCAPTCHAは、定義上、光学式文字認識では認識できない画像のみを表示します。

同時に、ユーザーの努力は公益に向けられます-彼らは自動的に認識できない単語を認識することによって本をデジタル化するのを助けます。

詳細な説明と試してみるには、ここを参照してください。

于 2008-09-03T19:51:24.510 に答える
6

キャプチャ

Quantum Random Bit Generator Serviceから、 MNeylon経由

于 2008-09-03T19:08:25.207 に答える
4

私は「隠しフィールド」CAPTCHA のファンです。どこで読んだか覚えていませんが、アイデアは次のとおりです。

  • 通常どおりフォームを作成します
  • 余分なフィールドを追加しますが、非表示にします (つまりstyle="display:none"、周囲の div またはテーブル行で)
  • 送信後、フィールドが空白の場合は、適切なアクション (電子メールの送信など) を実行します。フィールドが入力されている場合、それはロボット送信者です

これが失敗する唯一のケースは、ユーザーのブラウザーが CSS を処理しない (または CSS をオフにしている) 場合です。これは非常にまれです。

于 2009-05-21T23:13:37.893 に答える
4
  • 時間ごとの IP アドレスごとの投票数を制限する
  • 匿名化プロキシをブロックします。
  • 投票の場合:「セッションごとに」フォームから返される必要がある値をシャッフルするのはどうですか。「1」は最初の項目を意味し、「2」は 2 番目の項目を意味します。次に、「77」は最初の項目を意味し、「812」は 2 番目の項目を意味し、... 舞台裏で単純な計算を行っている可能性がありますが、これにより、ユーザーは同じ HTTP クエリを何度も何度も送信することができなくなります。
  • 私にとって非常にうまくいったことは、単純な HTTP フォームではなく、AJAX フォームを使用することです。技術的には、投票を偽造することはそれほど複雑ではありませんが、私は簡単なブログ ソフトウェアを作成しました。これは、AJAX を介してコメントを送信することだけがスパム保護メカニズムであり、これまでのところスパムはありません。
于 2008-09-03T16:42:17.680 に答える
2

テレビの「タレント」ショーのように、投票に料金を請求し、銀行までスパムメールで送られます!

真剣に、これは非常に難しい問題であり、いつの日か (Ray Kurzweil の言葉を聞けばすぐに)、コンピューターが人間を除外するテストを行うようになるでしょう。私がリストに追加する回答には明らかな欠点がありますが、列挙するためだけに: モデレーション (人間にテストを行わせる) と IP ベースの追跡 (ホストからの投票数を制限する) です。

于 2008-09-03T16:42:02.050 に答える
0

Best non-image based CAPTCHAへの回答にはいくつかのアイデアがありますか? まだ見ていない方に質問です。

于 2008-09-03T16:41:43.483 に答える
0

私は通常、この 2 つの組み合わせを使用します。匿名ユーザーはすべてを自由に閲覧できますが、投票したい場合は登録する必要があります。

登録プロセスでは、状況に応じて、オプトイン メール (登録を完了し、少なくともメールボックスが存在することを確認するため) および/または CAPTCHA を使用します。

その時点から、ユーザーが複数回投票できるかどうか、またはその他のルールを決定できます。

ところで、私は IP ベースの制約のファンではありません。大きな組織のネットワークでは、すべてのユーザーに対して少数の IP を使用する状況が多くあるため、投票できるユーザーをブロックするリスクが高くなります。

于 2008-09-03T16:42:19.130 に答える
0

stackoverflow has a few features that help with this; I think the single most useful step you can take is disabling the ability of anonymous users and new accounts to vote. This way, no one can sign up for hundreds of accounts and use their one vote to overpower other users. I'd say requiring a few posts or membership for a certain period of time are both decent options.

Some would say you could allow one vote per IP address to help address this, but I've played plenty of games where malicious users with a nigh-infinite number of proxies defied IP address-based security. It's a deterrent, but a savvy user will get around it easily.

于 2008-09-03T16:38:27.160 に答える
0

ヒューマンコンピューティングの研究領域です。

ここに Luis von Ahn の優れたビデオがあります: http://video.google.com/videoplay?docid=-8246463980976635143

于 2008-09-03T16:41:20.693 に答える