xfilokolo 0 Zgłoś post Napisano Marzec 3, 2016 Witam, posiadam stronę. Dla osób znających się trochę na technologi Bitcoina powiem od razu że jest to faucet. Strona bardzo narażona na ataki wszelkich botów, które mają za zadanie wyłudzać coiny bez udziału człowieka. Które z poniższych zabezpieczeń będzie najrozsądniejsze na stronie tak narażonej na ataki botów?Mam do wyboru: reCaptcha Are You A Human SolveMedia FunCaptcha Które z poniższych zabezpieczeń będzie najrozsądniejsze na stronie tak narażonej na ataki botów? Wiem, że bezpieczeństwo i wygodę trudno połączyć ale zależy mi również na wygodzie dla użytkowników. Najwygodniejsza jest oczywiście reCaptcha, ale czy jest też najbezpieczniejsza. Pozdrawiam Udostępnij ten post Link to postu Udostępnij na innych stronach
metrowy 18 Zgłoś post Napisano Marzec 3, 2016 To co dziś uznamy za niezawodne jutro może stać się zawodne. Najlepszym rozwiązaniem by było stworzyć coś swojego, unikalnego Udostępnij ten post Link to postu Udostępnij na innych stronach
Rolej 58 Zgłoś post Napisano Marzec 3, 2016 Osobiście, gdybym miał robić coś, z czego korzysta się kilka razy dziennie, oparłbym o Google Auth - moim zdaniem jest to nie do zbicia. Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Marzec 3, 2016 reCaptcha działa w miarę dobrze i jest dość wygodna, aczkolwiek żadne rozwiązanie nie gwarantuje "bezpieczeństwa" i możesz być prawie pewien, że na każde z nich są już napisane obejścia, tyle że żadne nie jest publiczne. Udostępnij ten post Link to postu Udostępnij na innych stronach
behemoth 230 Zgłoś post Napisano Marzec 4, 2016 2captcha ogarnie prawie wszyskie kapcie, za grosze... Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Rafiki Zgłoś post Napisano Marzec 4, 2016 (edytowany) Ja polecam rozwiązanie z pustym ukrytym pole które w 99% bot wypełni a użytkownik nie. Bardzo wysyka skuteczność walki z niechcianymi wiadomościami a po za tym nie zmuszamy użytkownika do żadnego dodatkowego przepisywania kodu. Edytowano Marzec 4, 2016 przez Rafiki (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Spoofy Zgłoś post Napisano Marzec 4, 2016 Ja polecam rozwiązanie z pustym ukrytym pole które w 99% bot wypełni a użytkownik nie. Bardzo wysyka skuteczność walki z niechcianymi wiadomościami a po za tym nie zmuszamy użytkownika do żadnego dodatkowego przepisywania kodu. Ciekawe, akurat teraz będę mógł to przetestować. Możesz podesłać kilka przykładów? Udostępnij ten post Link to postu Udostępnij na innych stronach
Piotr GRD 608 Zgłoś post Napisano Marzec 4, 2016 (edytowany) @ Spoofy Przyjrzyj się choćby opcji "ukryte pole captcha" w MyBB. Warto jest dobrać "zachęcającą" do wypełnienia nazwę takiego pola. Wordpressa z kolei zmodyfikowałem tak, że poza dodaniem pustego pola pozamieniałem również nazwy pól formularza do komentowania. Sprawdza mi się od wielu lat również proste pytanie "jesteś botem? tak/nie" przy rejestracji na forum SMF. To wszystko oczywiście działa świetnie, dopóki nie jest zbyt powszechne, dopóki rozwiązanie jest indywidualne, *unikalne* i na niezbyt wielkiej stronie, dla której nikt nie będzie się silił, by specjalnie tworzyć dla niej bota. To może zupełnie nie sprawdzić się na stronach dużych, popularnych, lub na takich, które stanowią dużą zachętę dla twórców botów jak wspomniana przez xfilokolo jego strona związana z bitcoinami, w takim przypadku ktoś pewnie jak najbardziej może zechcieć się wysilić i napisać bota specjalnie pod tę stronę. Innymi słowy: maluczcy mogą ustawić sobie coś prostego, nieinwazyjnego, ale unikalnego i skutecznego, jednak duże portale i/lub takie, które są z jakichś względów szczególnym magnesem dla botów i ich twórców muszą prowadzić ciągłą walkę. Edytowano Marzec 4, 2016 przez Piotr GRD (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
OneDistrict 12 Zgłoś post Napisano Marzec 5, 2016 Ja odkąd używam cloudflare, w ogóle nie mam problemów z botami, choć zanim to miałem to tych botów spooooro było Udostępnij ten post Link to postu Udostępnij na innych stronach
seomajster 14 Zgłoś post Napisano Marzec 5, 2016 Znacie sie tutaj wszyscy na botach jak moja babka na konfiguracji linuxa Żadne ukryte pola nie pomogą, bot to obejdzie. Recaptcha jest lamana programowo ze skutecznością 25-100% więc nie jest żadnym zabezpieczeniem. Fun captcha już lepiej, ale najlepsze byłoby autorskie rozwiązanie, np konieczność wypełnienia kilku captcha na raz - kcaptcha, funcaptcha, recaptcha i coś jeszcze. Człowiek sobie poradzi, skuteczność bota z każdą dodatkową captcha konieczną do rozwiązania będzie spadała co powinno Cie uchronić. odkąd używam cloudflare Cloudflare jest skuteczne w przypadku standardowych botów, nie dedykowanych dla strony. Jak ktoś zrobi dedykowanego bota (a w przypadku takiej strony to prawdopodobne) cloudflare nie pomoże. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Spoofy Zgłoś post Napisano Marzec 5, 2016 @ Spoofy Przyjrzyj się choćby opcji "ukryte pole captcha" w MyBB. Warto jest dobrać "zachęcającą" do wypełnienia nazwę takiego pola. Wordpressa z kolei zmodyfikowałem tak, że poza dodaniem pustego pola pozamieniałem również nazwy pól formularza do komentowania. Sprawdza mi się od wielu lat również proste pytanie "jesteś botem? tak/nie" przy rejestracji na forum SMF. To wszystko oczywiście działa świetnie, dopóki nie jest zbyt powszechne, dopóki rozwiązanie jest indywidualne, *unikalne* i na niezbyt wielkiej stronie, dla której nikt nie będzie się silił, by specjalnie tworzyć dla niej bota. To może zupełnie nie sprawdzić się na stronach dużych, popularnych, lub na takich, które stanowią dużą zachętę dla twórców botów jak wspomniana przez xfilokolo jego strona związana z bitcoinami, w takim przypadku ktoś pewnie jak najbardziej może zechcieć się wysilić i napisać bota specjalnie pod tę stronę. Innymi słowy: maluczcy mogą ustawić sobie coś prostego, nieinwazyjnego, ale unikalnego i skutecznego, jednak duże portale i/lub takie, które są z jakichś względów szczególnym magnesem dla botów i ich twórców muszą prowadzić ciągłą walkę. Dziękuję bardzo za otworzenie mi oczu na ten problem i obszerne wyjaśnienie Ciekawi mnie tylko jak np. taki cloudflare wyłapuje właśnie tego typu boty, tym bardziej że ostatnimi czasy dziurawe wordpress'y zmieniają useragent np. na mozilla/win 7 i wyglądają jak zwykli użytkownicy którzy (uwaga) mogą korzystać z js'a. Ja chyba jednak zostanę przy captch'y tej google'owej Udostępnij ten post Link to postu Udostępnij na innych stronach
hostit.pl 20 Zgłoś post Napisano Marzec 5, 2016 @Spoof najbadziej skuteczne są metody własne tzn. indywidualne - ale tylko do czasu. Jeśli Twój serwis będzie na tyle interesujący dla "recaptecherów" to zaprogramują dla niego rozwiązanie i tak będzie ci cieżko to obejść. Moim zdaniem jeżeli serwis nie jest międzynarodowy, tzn. jeśli jesteś nastawiony na dany kraj - to najłatwiej filtrować użytkowników po IP np. przy wykorzystaniu bazy maxmind. Większość spamu idzie z serwerów proxy lub firm hostingowych - a to jest bardzo proste do wychwycenia. W chwili obecnej obejście captchy, która wymaga interakcji ludzkiej jest po prostu dziecinnie proste - wszystkie nowe decaptcher są tworzone na bazie np. firefoxa lub np. silnika przeglądarki. Nawet google poległ w tym temacie i jedyne co ma dopowiedzenia to blokowanie delikwentów po adresie IP. Pamiętaj, aby captcha nie była powodem, z którego powodu, Twoi użytkownicy zrezygnują z wykonania akcji. Najlepszym wyjściem byłaby filtracja dwupoziomowa np. po IP a następnie w razie wątpliwości możesz np. wysłać sms weryfikujący na nr telefonu odwiedzającego (koszt max kilka groszy). Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Spoofy Zgłoś post Napisano Marzec 6, 2016 @Spoof najbadziej skuteczne są metody własne tzn. indywidualne - ale tylko do czasu. Jeśli Twój serwis będzie na tyle interesujący dla "recaptecherów" to zaprogramują dla niego rozwiązanie i tak będzie ci cieżko to obejść. Moim zdaniem jeżeli serwis nie jest międzynarodowy, tzn. jeśli jesteś nastawiony na dany kraj - to najłatwiej filtrować użytkowników po IP np. przy wykorzystaniu bazy maxmind. Większość spamu idzie z serwerów proxy lub firm hostingowych - a to jest bardzo proste do wychwycenia. W chwili obecnej obejście captchy, która wymaga interakcji ludzkiej jest po prostu dziecinnie proste - wszystkie nowe decaptcher są tworzone na bazie np. firefoxa lub np. silnika przeglądarki. Nawet google poległ w tym temacie i jedyne co ma dopowiedzenia to blokowanie delikwentów po adresie IP. Pamiętaj, aby captcha nie była powodem, z którego powodu, Twoi użytkownicy zrezygnują z wykonania akcji. Najlepszym wyjściem byłaby filtracja dwupoziomowa np. po IP a następnie w razie wątpliwości możesz np. wysłać sms weryfikujący na nr telefonu odwiedzającego (koszt max kilka groszy). Również dziękuję za odpowiedź Dopowiem tylko iż ja najczęściej wycinam rosje, chiny, tajwan i brazylję, ale z usa albo z tych amazonów idzie ostatnio tego sporo, nawet z online.net. Muszę tak naprawdę zerknąć gdzie i co mi wycina taki ruch, a dopiero później zastanowić się czy przerabiać jakiś skrypt na stronie - to jest moje podejście które niestety bywa błędne czasami Udostępnij ten post Link to postu Udostępnij na innych stronach
