Jelikož odkazy do komentářů už nevkládají jen roboti, ale zabývají se tím i firmy (třeba v Indii),
tak je třeba jednoduché, ale hlavně účinné ochrany, protože captcha či registrace pro ně s translatorem logicky není problém.
Úprava spočívá ve velmi drobné úpravě souboru admin/astdlib_comment.php
řádek 42 až 44.
Původní:
"<a href=\"$1\">$1</a>",
"<a href=\"$1\">$1</a>",
"<a href=\"$1\">$3</a>",
Nahradit za:
"<a href=\"$1\" rel=\"nofollow\">$1</a>",
"<a href=\"$1\" rel=\"nofollow\">$1</a>",
"<a href=\"$1\" rel=\"nofollow\">$3</a>",

Vygenerovaný odkaz pak získá takovouto podobu:

<a href="http://www.phprs.net" rel="nofollow">phpRS žije</a>

A takto se k tomu chová vyhledavač.
[http://support.google.com/webmasters/bin/answer.py?hl=cs&answer=96569]

Zrovna som čítal o problematike captcha otázok. Možno pomôže: [http://www.phpbb.cz/viewtopic.php?f=29&t=21997]
Naozaj je dôležité, ako je formulovaná otázka. Mimochodom, zaznamenal som už robotov, ktorí sa zaregistrujú, prejdú dokonca aj aktiváciou účtu cez aktivačný odkaz zaslaný na email. Následne žiadnu captchu lámať nemusia, nakoľko phpRS registrovaných užívateľov berie ako dôveryhodných a komentáre od nich automaticky prijíma. Preto som v 2.8.2 upravil registráciu tak, aby vyžadovala captchu.

Počkej, asi jsi nečetl ten odkaz - spameři či přesněji řečeno linkeři nemají důvod vkládat odkazy do komentářů, protože je vyhledávače s parametrem nofollow neindexují.
Samozřejmě, robotům je to jedno, ale lidská práce je drahá a pak na systému phpRS, pokud to bude defaultní volba, kterou si samozřejmě může každý upravit k obrazu svému (třeba čtenáři s vysokým levelem se nebude tento parametr vkládat, protože vkládá hodnotné odkazy)

Pochybujem. Zlepšovanie pozícií vo výsledkoch vyhľadávania podobnými metódami už je aj tak neúčinné - Google zmenil algoritmy tak, že linkfarmy a podobné hromadné odkazovanie rating cieľovým webom znižujú. Napriek tomu to spammeri stále robia. Rovnako ako emailový spam, aj komentárový sa spolieha na to, že niekto na tie odkazy proste klikne, takže ich tam vložia aj keď tam bude nofollow.

Problém so spamom majú aj weby, ktoré všetky odkazy z komentárov linkujú s parametrom nofollow. Preto myslím, že toto nie je riešenie a treba sa zamerať skôr na kvalitný turingov test a na to, aby bol vyžadovaný všade kde je to potrebné. phpRS doteraz malo v tomto dieru tým, že sa stačilo zaregistrovať a captcha zmizla.



Celkem upraveno 2×. Poslední úprava pa3k v 22.11.2012 11:15.

Samozřejmě, že robotům je to jedno, ty budou plevelit dál, vždyť je to nic nestojí. A s IPv6 se jim otevírají velké obzory k ještě problematičtější blokaci adres.
Ale tam, kde roboti končí a je vyžadována lidská inteligence, pro registraci či prolomení captchy, tak si daná firma bude primárně vybírat dané weby, které její odkazy dostane do indexu.
A stránky na phpRS jsou ideální linkfarmou, ať se nám to líbí nebo ne. Jsou velmi unikátní svým obsahem, s pravidelnými čtenáři, s minimem prolinkování z jiných webů.
Srovnejte, jak weby malých rozsahů na to pasují:
[http://404m.com/2012/08/11/jak-se-tvori-linkfarma/]

A kde je ten kořenový server?
No přece tady (zasraný požadovanými odkazy):
[http://www.supersvet.cz/seznam_phprs.php]

Tj. tak jednoduchá možnost, může mít drtivý dopad.
Na jiném - velkém a profi fóru to také nebylo zavedeno. Admin se zkrátka domníval že je to defaultně nastavené.
Výsledek? Zásadně ubylo témat a příspěvků - podívejte se sem, jaký máte na to názor, tady jsem našel něco super atp.


Captcha pro registrované čtenáře je opruz, to vážně není standard.
To už je rozumnější odkazy ponechat jako text. Kdo chce, tak ať si daný odkaz zkopíruje.
A nebo povolit až od vyššího levelu čtenáře (přidělené adminem).



Celkem upraveno 1×. Poslední úprava rpx v 23.11.2012 00:31.

Vyššie uvedeným som nemyslel že captcha test treba mať aj pre registrovaných. Mal som na msyli to, že registráciu zvláda aj automat, pretože samotný proces registrácie captchu nevyžaduje. To otvára dvere aj jednoduchým automatom napriek tomu, že cez captcha by neprešli.

Určitě je dobře - a jsem moc rád - že věnuješ tolik času zlepšení bezpečnosti, která je dnes alfou a omegou každého systému.

Já jen popisuji situaci, kdy registraci provede člověk z firmy a přidávání komentářů už nechává na automatu, který tam sáčkuje dle nějakého algoritmu nebo databáze odpovědí, které nejsou nápadné jako spam, ale především vedou na linkovou farmu. Tj. i když nějaký člověk na to klikne, tak zjistí na farmě nějaký balastní obsah, který ho nezaujme.
Vyhledavač ale tak velkou inteligenci nemá, postupuje dle algoritmu a dané linkové farmy (vytvořené roboty) vloží do databáze jako velmi hodnotný obsah.
A díky algoritmu, když narazí na nofollow, tak na daný odkaz nepokračuje a spamerský systém nemá zájem vkládat další příspěvky s odkazy na svoje struktury, protože by takto odhalil svoji strukturu pracně budovaných linkfarem.
Dobrý vyhledavač totiž také indexuje tyto odkazy a zkoumá je.

Začali jsme najímat levné pisálky z Indie, aby vytvářeli podle jeho identity profily na diskuzních fórech a různých službách. Pak měli debatovat o službách, které jeho společnost nabízí. Samozřejmě v každém příspěvku musel být odkaz na konkrétní podstránku, kde daná služba byla.
[http://404m.com/2012/06/05/negativni-seo-znicte-svou-konkurenci/]

Stačí se podívat, co se za takové odkazy platí:
[http://www.backlinksgenius.cz/]

Prostě za pozice ve vyhledavači se velmi tvrdě platí. I na českém trhu.

No osobne som zatiaľ na phpRS nemal problémy s komentárovým spamom, no ak myslíš, že to je reálna hrozba, je najmenej nastaviť phpRS defaultne tak, aby všetko z comment.php malo nofollow.



Celkem upraveno 1×. Poslední úprava pa3k v 23.11.2012 10:53.

Moc neverím, že to k niečomu povedie, pretože už len počet neaktualizovaných phpRS webov bude stále motiváciou, takže aj novo vytvárané SPAM nástroje by asi budú na phpRS zamerané. Aj tak si myslím, že tieto nástroje nie sú robené na mieru pre konkrétny systém (ak to nie je fakt veľmi rozšírený systém), také phpRS je IMHO nezaujímavé. Jednoducho majú algoritmus, ktorý skúšajú na všetky weby s určitou charakteristikou.

No, on je problém s tou aktualizací ve dvou úrovních.

Aktualizace se vydává jako celkový balík, místo pouze opravených souborů - tj. má existovat komplet verze, zároveň změnová verze z 2.8.0.

Ukončit zde podporu 2.6.0. - Natvrdo napsat, že vzhledem k množství bezpečnostních chyb je nutno přejít na 2.8.last.verze a vlákno zrušit či přesunout některé dobré věci do archivu (pročištění by fóru jen přispělo).

Chybí skript, který by danou aktualizaci prováděl.
A který by zároveň upozornil, že v dané verzi jsou provedeny nějaké změny odlišné od oficiální distribuce - tj. klasický výpis do dvou oken vedle sebe alá NC s vyznačenými změnami.

Spousta lidí má starou distribuci jen proto, že tam cosi lopotně kdysi vlastního stvořili a bojí se do toho šahat.
Výsledkem je, že místo aktualizace a jednoduché opravy ve dvou souborech (např. upravená funkce) utečou na jiný CMS (a přiznejme si, že phpRS je starý přes deset let a jeho architektura už neodpovídá současným možnostem - tj. využití např. frameworku, ač je v něčem nadčasový).

Nehledě na to, že největší díry do systému jsou pluginy.
Chybí zde totiž oficiální seznam pluginů a jejich posledních verzí, tj. že pluginy jsou certifikované.
Takže se člověk dozví o pluginu galerie, ten někde lopotně najde v poslední verzi, ale neví že i ta je děravá jako ementál.
Žádný aktualizační script jej totiž na bezpečnostní rizika verze neupozorní - nebo v administraci (podívejte se, jak to má třeba vymakané firefox).
No a když ji zkusí naistalovat na aktualizované prostředí s novou verzí PHP, tak najednou mu plugin zhavaruje v administraci - "v systému již tento plugin existuje".
Uživatel je nahraný, protože neví co s tím. maximálně zkontroluje soubory v /plugin, tam nic není, tak se potupně vrátí ke staré distribuci.
Ovšem kdyby se pozorně podíval, tak zjistí, že na horním řádku je uvedeno "<?" místo "<?php", takže to musí opravit (a zároveň ve všech souborech pluginu), jinak přikaz include je načte jako text.
Otázkou je, zda-li na to upozornit a zavléci si děravé prostředí na novou distribuci
Takže ten, kdo chce externí galerii nebo kdo chce interní fórum atp., musí přejít na jiné CMS ať chce nebo nechce, nebo se pustit do úpravy kódu - což je většinou nad jeho možnosti nebo překračuje jeho lásku k phpRS - nebo si nechat děravý CMS (ano na ty hlavní chyby je ve fóru upozorněno, ale v pluginech nejsou zavedeny).

Ohledně že nástroje jsou dělané na konkrétní CMS neměj pochyb, jsou dělány i na jejich jednotlivé verze.
Robotovi (scanerovi kódu a známých bezpečnostních chyb či užití technik) je to v podstatě jedno, on hledá klasické zranitelnosti a jak si dané weby zatřídí a sleduje jejich stav (tj. zda je může využít), to už je maličkost, která mu ale podstatě šetří práci v jeho bootnetu.

rpx napísal/a:
-------------------------------------------------------
> No, on je problém s tou aktualizací ve dvou
> úrovních.
>
> Aktualizace se vydává jako celkový balík, místo
> pouze opravených souborů - tj. má existovat
> komplet verze, zároveň změnová verze z 2.8.0.

Zmena súborov je zverejňovaná vždy. Rovnako ako existuje možnosť upgrade scriptom (skús 282)
Okrem toho v 282 som od začiatnu popisoval všetky vykonané úpravy. [http://www.phprs.net/forum/read.php?32,38010]

> Ukončit zde podporu 2.6.0. - Natvrdo napsat, že
> vzhledem k množství bezpečnostních chyb je nutno
> přejít na 2.8.last.verze a vlákno zrušit či
> přesunout některé dobré věci do archivu
> (pročištění by fóru jen přispělo).

282 má inštalačný script, pripravili to chalani.

> Chybí skript, který by danou aktualizaci
> prováděl.
> A který by zároveň upozornil, že v dané verzi jsou
> provedeny nějaké změny odlišné od oficiální
> distribuce - tj. klasický výpis do dvou oken vedle
> sebe alá NC s vyznačenými změnami.

Nie je v mojich silách toto spraviť. phpRS už autor nevyvíja dosť dlho. Ja spolu spár ľudmi sme sa rozhodli vydať opravy, pretože nám bolo ľúto toho veľkého počtu nezabezpečených webov. Osobne nehodlám vydávať nejaké nové verzie okrem opráv bezpečnostných chýv. Samozrejme, nejaké veci rozširujúce funkčnosť som zverejnil, ale len kvôli tomu, že som ich už mal v minulosti úplne alebo aspoň čiastočne hotové.

Rovnako certifikácia pluginov. Certifikované sú, viď community web. Napríklad galéria tam nie je, pochopiteľne, autor sa o ňu nestará. Opravy sú zverejnené, žiaľ neni nikto, kto by udržiaval všetok kód a vydával opravy, jednoducho na to nie je čas a dosť ľudí. Nikto z nás ani nemá prístup na úložisko supersveta, kde galéria je zverejnená. Kto ju chce použiť, musí si to fixnúť sám.

Už to, že tsom vydal opravy do 282 ma stálo kopec času a enegrie. Moja snaha je, aby existujúce weby neboli deravé. Či niekto prejde na iný systém je mi jedno.

V skratke, nie som v pozícii počúvať a riešiť kritiku o nedostatkoch v phpRS. Sám tieto veci kritizujem, ale autor je ticho. Preto radšej sám spravím, čo je v mojich silách. Ak chceš, môžeš skúsiť niečo naprogramovať, vylepšiť. Ja to rád zverejním. Od opráv pluginov až po nové funkcie v phpRS.

Neber to prosím jako kritiku Tvé práce a vloženého času - tak to nebylo v žádném případě míněno. Jasné?
Já si umím vážit práce druhých (oproti některým, kteří ukradli phpRS a po úpravách ho vydávají za své dílo (pozor, není to případ CMS níže).
Už jen to, jak promptně reaguješ na zveřejněné chyby.
I to byl důvod, proč jsem zase pro drobnou komunitu nově další phpRS naistaloval místo jiného CMS.

Ale najednou si vymysleli, že chtějí oproti původnímu záměru galerii, tak jsem se dostal do dilematu, jako - podle mne - spousta současných či bývalých uživatelů phpRS.
Má význam investovat do toho čas, nebo šáhnout po jiném CMS?

Tj. člověk, který v php prostředí není denně, ale jen tehdy když něco potřebuje drobně upravit, tak se nebude pouštět do nějakého rozsáhlého projektu - to může být např. dobré téma pro bakalářskou práci studenta z oboru informačních technologií, nebo pro toho, kdo má programování jako svého hlavního koníčka...
Vždyť studentík klidně napíše celé CMS (a pak je problém, co dál, protože to třeba strčí pod veřejnou licenci, ale komunita kolem toho nevznikne - tady ještě nějaká komunita je, nemusí se budovat)...

Samozřejmě, je problém je najít, ale nelze je lákat na současný stav.

Protože pokud Jirka Lukáš sice prodlouží registraci domény [http://www.nic.cz/whois/?d=supersvet.cz] , ale nenajde si ani hodinku za ty roky, aby předal admin práva někomu jinému z komunity (když se mu to nebude líbit, není přece problém v administraci hostingu provést změny), aby jeho několikaletá práce nepřišla nazmar (což je pro mne těžko uchopitelné, i takový projekt jako žrout času se dá korigovat).

Podle ZR sekl s programováním v roce 2008, kdy se dal na účetnictví, ale phprs.net mu také patří - má tam obchodní nabídku na phpRS a patičku "Copyright Jiří Lukáš, 2001-2012", takže na nějakou aktivitu to vypadá.
Pokud jsou problém peníze, tak je velmi nepraktický - už jen za reklamu za ty roky by vydělal balík, kdyby to spojil v jedno a jednou za půl roku na to vlezl. Těch pár starých banerů jen odradí.
Malý příklad - jedna firma potřebovala udělat web - můžu kamarádovi doporučit phpRS?
Ne, to by si poklepal po shlédnutí stránek na čelo, tak si vybral něco profi, vyhodil přes sto litrů ("něco" za CMS a za vytvoření obsahu - sorry to není reklama, proto chci odkazy ve fórech nofollow - [http://www.epublisher.cz/redakcni-system/cenik.ep/] to jen proto, abyste viděli, že nekecám - btw, přál bych Vám srovnat administraci phpRS a třeba tohoto CMS, asi by Vás jeblo - pro dobré vztahy, když mi to předváděl, jsem se rychle přestal ptát - jak to, že admin nemůže to a to, a že toto nelze editovat v systému, ale oni to musí naprogramovat a zase budou z něho za každý prd tahat peníze)

Pokud komunita u phpRS je v takovémto stavu kdy to tu v podstatě drží jeden nadšenec, kterému už bohužel dochází entuzianismus, je nutné se podle toho - ač velmi nerad - zařídit, až nastane zlomový stav.
Tak to je vše co jsem chtěl říci - prosím nereagujete na to, nebudu na nic odpovídat, ať z toho není zbytečná flamewar, která nemá žádné řešení.

OK. V pohode. Ja vidím podobné príklady aj na Wordpresse. Kamoš si nechal spraviť e-katalóg s košíkom a objednávkami. Keď som videl ako to bolo spravené, radšej som mu tam mal dať phpRS :-) Sám s tým pritom ako laik nevedel pohnúť. Web a cms beriem ako vec, ktorej by sa mal venovať vždy odborník, aj keď použije openSource/free vec, musí jej rozumieť, iank z hocičoho dobrého vznikne zmetok.

K tej galérii. Používam internú a mám úpravu, kde ju pripichnem k článku rovnako ako je robená anketa. Ak by som mal spraviť web, kde galéria bude nosná myšlienka webu, phpRS by som asi nepoužil. Poznám ale niekoľko profi webov, kde je nasadáná aj externá anketa (EDIT: samozrejme myslel som plugin galéria) ako plugin, len je ošetrená na chyby. Robil som na nej komerčne pár úprav a funguje OK, roky s pomerne vysokou návštevnosťou. Tých dier tam zas nebolo tak veľa, pokiaľ viem, len pár a ak sa opravia, dá sa na nej asi vpohode fungovať aj profi.

Čo sa týka podpory, mám phpRS na niekoľkých weboch, kde ho udržiavať musím v rámci pracovnej náplne alebo vrámci dobrých obchodných vzťahov. Nedá to zas toľko práce ako prerábať to do niečoho iného, takže úplne tento systém nehádžem cez palubu :-)

PS: poznám aj drahšie CMS, keď už sa tu bavíme o konkrétnych ponukách, mrkni na WAMOS ;-)



Celkem upraveno 1×. Poslední úprava pa3k v 26.11.2012 20:27.

Ano, taky JL nechápu. Dal mi před nějakým časem plný přístup na magazin a forum (foru nerozumím, takže ho spravuje pa3k) ale na magazinu stačila docela malá úprava v komentářích aby spam prakticky vymizel. (Na jeho likvidaci ručně jsem si tehdy vytvořil i plugin a byla to pakárna i tak). Navrhoval jsem mu tehdy aby mi dal přístup i na supersvet, a býval bych tam udělal to samé, ale nedal, tak to tam je tak jak všichni vidíme.

Bohužel v současné době máme všichni stále méně času a tak asi už nová verze nebude. Ale možná, že kdyby bylo více lidí a právě rpx může být také jedním ;-), tak bychom mohli třeba v příštím roce fixnout chyby v pluginech, alespoň v nějaké jejich části. Vytvořit bezpečnější verzi 282 se nakonec podařilo, tak i tohle by možná mohlo klapnout.

Mám taky vlastní třídu na obranu proti spamu, několik samostatných testů, ale netuším jeslti by to fungovalo i poté co by se stala veřejnou. Stejně tak mám asi podobně jako pa3k vlastní úpravu vnitřní galerie, kdy se mi přídává další phpRS značka, která umožní buď přidat k článku celou nějakou galerii, nebo obrázky od čísla x do čísla y. Dokonce jsem si upravil jeden wysiwyg editor aby mi tu značku tam umožnil vkládat - ale s mými znalostmi javascriptu to je asi kostrbaté, nicméně to funguje.

Myslím si, že by bylo fajn se přeci jenom setkat a promluvit si na živo. Ale čím dále více to vidím jako "zbožné přání" (což je termín zaměstnance z firmy autorů našeho nemocničního inf. systému, když o něco žádá někdo z uživatelů, který není ředitelem etc., tak to do téhle kategorie zařadí... )

Hepbegclub | Čáslavsko | MN Čáslav



Celkem upraveno 2×. Poslední úprava Kryšpín v 28.11.2012 21:22.

Kryšpíne velice dobrý nápad s těmi pluginy. Pokud si dal pa3k tolik práce na opravu bezpečnostních chyb, bylo by škoda, kdyby to hatily neprověřené a děravé pluginy.

Navrhoval bych i jakousi databanku pluginů ve které by byly zařazeny pouze týmem otestované a prověřené pluginy. Sice to tady není jako např. tým phpBB, kteří obdobným způsobem pouští jejich MODy.

Nicméně za pokus by to stálo.
Dokonce bych se i přimlouval za "kompletní" překopání phpRS do verze 3.0, třeba jako dárek pro příští vánoce...


Pokud budete chtít, mohu svou troškou do mlýna přispět i já.

---

* Klub kuželkářů Zálabák, Hankova 62, 503 03 Smiřice (Endora) * X X * Stránky ČZS ZO Třešňovka2 * X X * Cvičný phpRS web (WZ) * X X * Testovací phpRS web (WZ) *

---

* cvičná verze phpRS v 2.8.2 * X X * testovací web CMS *

---

Zdravím, přečetl jsem pár prvních příspěvků, ty obsáhlejší se mi už číst nechtělo.

Vytvořil jsem před pár lety (zhruba 4 a půl roku zpět) vlastní captchu.
Jak si ji dát do svého phpRS najdete zde: [http://blink-182.cz/navod-captcha/navod.php]
Snad to někomu pomůže. Mám pocit, že za tu dobu mi nenapsal žádný bot komentář. Captchu mám nastavenou i při registraci čtenářů - ti po přihlášení už captchu u komentářů nemají.

×××---×××
www.ava-plus44.com
www.blink-182.cz

rel="nofolow" bolo doplnené do 282 RC7