Dobrý den,

omlouvám se, za název tématu, ale tohle už nelze nazvat jinak než spamem... (jako robotem prováděné naprosté obtěžování)... už se tady spam řešil hodně, ale podobný problém jsem nenašel (ikdyž tedy toto také vychází ze stejného problému [http://www.phprs.net/forum/read.php?7,10383,10383]) tak nebylo nalezeno odpovídající řešení....

Všiml jsem si, že naše články mají horší hodnocení, moje první cesta byla vytvoři určitý log - tedy tabulku kam se budou ukládat všechna hodnocení - tedy linky článků, jak hodnotil, v kolik, jaká doba uběhla od načtení stránky a také ip adresu... , abych mohl mít vlastně přehled co se na webu děje... po pouhých pár hodinách jsem však byl zděšen - přibližně 1000 článků bylo ohodnoceno nejhorší známkou, a to ze stejné IP adresy a v rozmezí asi hodinu (+/-) - čímž vlastně úplně pokazil pěkné hodnocení spousty článků...

chtěl bych se zeptat, jaký na to máte názor? stalo se Vám to také někdy? je možné že se jedná o robota některého z vyhledávačů (hodnocení provádím formou odkazu, ale ten má nastaven hodnotu nofollow)... nebo je možné, že by si náš "milý" návštěvník dal práci speciálně vytvořit robota, který nám bude kazit hodnocení? v tom případě mi to přijde poměrně podezřelé, protože od načtení stránky po její hodocení uběhne třeba celá hodina! (ale také jen pár minut). a samozřejmě jak proti tomu zakročit?

v současné době se mi jako nejsnadnější řešení zdá blokovat konkrétní IP (v současné době je spamující právě jedna), ale obávám se, že změna IP by mohla být příliš snadná a problém by se mohl objevit znovu a ještě v horšim... také mě napadá, když mám IP adresu, zda můžu o tom člověku najít něco bližšího... docela rád bych ho požádal o vysvětlení... podle toho co sem zjistil je z ČR a má připojení od telekomu...

Jako další možné řešení mi připadá, sestrojit nějaký další algoritmus, který moji logovací tabulku znovu proběhne a podle určitých kritérií vrátí hlasování do původního stavu...

Ten log odchytával předpokládám pouze hodnocení, takže víš, že z IP bylo ohodnoceno tolik článků takovou známkou. Lezla ale ta IP i jinam? Myslím jestli procházela články, chodila do galerie atd, jako normální robot.

Nejsem si vědom, že by se mi to stalo; mě vždycky špatně hodnotili články spolužáci; proto jsem hodnocení vyhodil a nikomu se nic nestalo.

IMHO je nofollow úplně zbytečný. Nikdy jsem nepochopil, co roboty donutí k jeho neindexování. Skrytá dohoda? Říkám haha. Ale jen můj názor.

Jak zakročit? Těžko. Pokud někdo bude chtít, obejde úplně všechno. Možná kontrolovat referer (jestlli přišel z webu, nebo otevřel jako novou stránku (ale bacha, některý firewally referer blokujou, takže to postihne i normálního návštěvníka)); předělat hodnocení do fomuláře, vyhodit hodnocení úplně, na článku uložit $_SESSION a tu pak kontrolovat v hodnocení (IMHO nejlepší současné řešení)...

Nedokážu říct, jestli si na web někdo "zasedl" a nebo jde o necílený útok. Taky nedokážu říct, jestli se za tou IP adresou skrývá právě útočník. Dnes je hodně zombie počítačů (i v ČR) a není problém si na ně hodit spamovací roboty.

Poslední tvoje řešení je opravdu jen řešení a ne hledání příčiny. Pouštět každý večer algoritmus na pročištění hodnocení je IMHO strašný. To už radši celkové zrušení hodnocení.

// A ještě - zjištění toho, kdo se skrývá za IP... To je nadlouho. Telecom sám neřekne (leda že má známý známého :-) Řekne to leda tak policii - trestní oznámení. Ale zkuste si na policii přinést IP adresu s tím, že chcete podat oznámení na neznámého pachatele, protože vám blbě hodnotí články. Ale vezměte s sebou skrytou kameru, protože takový záchvat smíchu bude stát za to. Nejlepší řešení je sehnat někoho známého z Telecomu kdo se k tomu může dostat.
// Ale jak říkám, může to být Franta Vopice z Horní Lhotky, který nemá na PC firewall a někdo mu tam hodil spamovacího robota...

--
[ SAFUS.EU | OFFLINE | FOREVER ]



Celkem upraveno 2×. Poslední úprava Michalek v 02.08.2006 07:34.

Děkuji za tak rozsáhlou odpověď

Za včerejší noc a dnešní dopoledne mám další data - především těch IP je více (v současné době 3 a všechny jsou nejspíš z ČR) - každá stihla udělat několik stovek hodnocení - od sebe vzdálených jen pár vteřin - přitom doba od načtení stránky po její vyhodnocení se pohybuje okolo 30 minut...

ano, ten log sleduje jen hodnocení - nevim, zda se pohybuje po celém našem webu... - ale například podle IP by mi přišlo divné, kdyby to byl robot některého vyhledávače...

Jako nejsnadnější řešení by samozřejmě bylo zrušení hodnocená, ale osobně zastávám názor, že hodnocení článků je velmi důležité - autoři webu musí mít přece určitý přehled, zda se jeho články líbí...

také mě napadl další možná příčina, proč máme mohlo by se jednat o nějaké programky, které zpřístupňují web offline? ale proč hodnotí články jen nejhůř?

protože se u mě problém objevil po změně formuláře na vyhodnocení jsem se rozhodl umístit tam původní form (v současné době - hodnocení probíhá stisknutím klasického odkazu - proto jsem se rozhodl přejít zpátky na "tlačítka" a klasický form... nevím, zda to pomůže, ale pokud se jedná pouze o robota, který se snaží naše stránky jen zaindexovat popřípadě zpřístupnit offline mohlo by to být lepšíí

Pri hodnotení je úplne jedno či to ide postom alebo getom, phpRS to aj tak spracuje ako globals. IMHO *neexistuje* žiadne rozumné riešenie okrem zabezpečenia skrytým captcha systémom alebo otázkou v kombinácii so session a podobne, prípadne hodnotenie podmieniť registráciou. Ono totiž vzdy môže nejaký "šikula" nabúrať cudzí web (knihu, guestbook a pod.), prepašovať tam JavaScript a hodnotenie bude potom prichádzať z akejkoľvek IP adresy :( vpodstate z IP adries reálnych návštebníkov toho zombie webu. Návštevníci o tom ale vôbec nebudú vedieť. Podrobnosti tu rozpisovať nechcem aby to niekto nezneužil, ale pre priemerného programátora to je práca na pár minút.

Skús pozrieť do novej verziu guestbooku od Smika, má tam zabudovanú zaujímavú "neviditeľnú" ochranu pred spamom. Princíp "neviditeľnosti" je elegantný, pri rozšírení o časovú pečiatku pre formulár a captha obrázok (neviditeľný) to to mohlo zabrať.

Osobne to robím hashovaním captcha kódu osoleným časťou timestapmu. Tým dám captcha obrázku časové obmedzenie a zároveň odmietam všetky požiadavky odoslané menej ako čas X od vygenerovania formuláru. Toto všetko funguje bez použitia databázy.

Sry, ale řešit hlasování (jakoukoliv) captchou je blbost. Nevím co přesně myslí pa3k, ale pod captchou si představuju opište čísla z obrázku. Javascriptové doplnění a skrytí políčka pro mě není captcha :-) Nepopírám ale, že by to bylo funkční.
(To už by se pak mohlo udělat všude :-) Při hledání na googlu - opište číslo. Při psaní na jakékoliv forum, opište číslo. A roboti by se to hodně rychle naučili obcházet. Kromě výpočetní síly a rychlosti to pro ně není problém.)

To, že jsi tam ted dal formulář tě už nezachrání. Jak píše pa3k, pokud má robot nasosnutý odkazy typu neco.php?hlasuj=1&cisloclanku=123 a bude to fungovat i po nasazeni formulare (nebudes kontrolovat GET/POST - a jeste k tomu to phpRS slučuje do GLOBALS), tak máš smůlu a robot nemá co řešit (pokud mu jde jen o to dávat špatné známky).

IMHO to není robot co stahuje obsah. Ale třeba se mýlím. Vyhledávač to asi taky nebude. Spíš by to mohl být robot sběrač, který "hledá" formuláře ke spamování a prolejzá celý web skrz naskrz a hledá "chyby".

Kdybych měl něco navrhnout já, byly by to SESSION. Při prohlížení článku si uložíš $_SESSION["clanek_cisloclanku"] a pak budeš kontrolovat její existenci pri pokusu hlasovat. Po hlasování ji zničíš.

Nikde jsem sice neviděl, jak je SESSION ne/průstřelná, ale imho to omezí dohromady mín lidí než cookies a captcha.



--
[ SAFUS.EU | OFFLINE | FOREVER ]



Celkem upraveno 1×. Poslední úprava Michalek v 02.08.2006 14:27.

No neviem, neviem... Session IMHO nie je žiadne riešenie. Robot session aktivuje načítaním stránky a vpohode zahlasuje. Ani striktné viazanie session na cookie nie je asi výhra, bežne si nastavím aj úplne blbý soft na offline sťahovanie webu tak, aby cookies prijímal. Navyše si neviem predstaviť, čo taký poriadny útok potom spraví so serverom, IMHO celkom reálne hrozí, že to bude zahltené a pamäť to tiež asi zrovna šetriť nebude. Koľko trvá kým sa neaktívna session zneplatní? Generovať session pri view už nie je IMHO dobrý nápad vôbec - indexácia webu "dobrým" robotom a je pre-session-ované, navyše asi hrozí aj sprasenie url SESSID, pretože "dobrý" SE robot cookie najsôr neprijme a ID sa vyhodí do url. Toľko k session...

Skrytá captcha vypĺňaná JavaScript-om je tiež captcha ale s nadstavbou :) Captcha rulezzz! :-D Nie - vážne. Jendoducho neverím, že robot bude lúskať kód OCR metódou. Takého robota by som xcel vidieť. Ak aj bude, nie je problém od usera pýtať prvé tri znaky z piatich, ktoré sú na obrázku, prípadne sa dá aj inak ;)

:-/ Pohyboval jsem se v session rovině, kdy robot nenačítal přímo stránku s článkem, ale načítal rovnou něco.php?hlasuj=5; v tom případě by session neměl. Zahlcení serveru? Spíš než ukládání session mi web zahlcují dotazy na comment.php; oproti tomu je session třešnička na dortu, myslím.

Ale jinak nemám už co říct, už bych se jen opakoval.

[img]http://nahraj.cz/files/captcha7.gif[/img]
Pro odpověď na tento příspěvek prosím opište z obrázku o deseti číslicích číslice v tomto pořadí: 4, 5, 1, 1, 2, 3, 9, 9, 9, 8, 6, 7, 1, 2, 3, 4, 5, 6, 7, 8, 9.

--
[ SAFUS.EU | OFFLINE | FOREVER ]

pánové, tedy ROFL...

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

<ot>
ROFL? :-P Že já ti přepošlu tu dlouhou icq rozpravu s pa3kem o spamovacích robotech :-D Až budu velký, budu se živit jako programátor takového robota. Mám metody, o kterých se vám ani ve snu nezdálo.
</ot>

--
[ SAFUS.EU | OFFLINE | FOREVER ]

ale Michálku, já ti to věřím, to válení bylo na tu tvojí Captchu

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

Hmmm, rozdiel v jednorázovej záťaži na databázu a session tu určitý vidím. Komentáre sa vygenerujú, script prebehne, pošle výstup, uvoľní sa pamäť, server si vydýchne - finito destilato. Pri session to asi bude trochu iné, premenné v rámci session zostanú určitý čas v pamäti servera a bez ukončenia session sa to bude zbytočne nabaľovať, každé zobrazenie stránky (napr. pri masívnom indexovaní webu SE) vygeneruje hromadu nových session (za predpokladu, že bot session cookie neuloží a SID nevybehne do URL). Táto hromada session bude rásť a hniť až kým staré sessions nevyhnijú - toto som mal na mysli. Neviem či je to kritické, možno že nie - réžia na session nemusí byť veľká ak v session nie je pomaly nič uložené. No ak existuje aspoň jeden spambot, ktorý pred akciou sťahuje aktuálny form, je celá úvaha o nejakej session ochrane zbytočná, jednoducho preto, že nebude fungovať.

Michalek: Dúfam, že s tým písaním spambotov to nemyslíš vážne. Nie že by som mal strach o seba :-D Skôr opačne - pozor - je to veľmi zlá karma.

Otázka nie je či je captcha dobrá alebo zlá. Samozrejme že z hľadiska použiteľnosti je to prekážka. Otázka ale je, ako sa proti spamu a podobným útokom brániť...

Dobrý den,
chtěl bych poděkovat všem za Vaše názory a omluvit se za mou pozdní odpověď - za tu dobu sem sbíral informace, připravil sem si další logy apod... prostě sem nechtěl nic zakřiknout... - takže bych si to v tomto příspěvku dovolil všechno rekapituloval.

Takže vše začalo, tím že sem zatoužil pozměnit hodnocení článků na něco hezoučkého. Na Intervalu jsem nalezl tento článek [http://css.interval.cz/clanky/hodnoceni-hvezdickami/] a více méně podle něho jsem upravil mé hodnocení článků. Všechno fungovalo nádherně a byl jsem s tím maximálně spokojený.

Po určité době od nasazení na ostrý web jsem si všiml, že článkům výrazně klesá průměrně hodnocení - a často se dokonce stávalo, že nové články měly úplně to nejhorší. Rozhodl jsem se vytvořit tabulku (určitý log, nebo jak to jinak nazvat), kam se budou ukládat záznamy o každém jednotlivém hodnocení, (kdo -ip, kdy, jaký článek apod.) abych měl víc informací.

Za téměř tři dny sem v logu našel asi 5000 spamových hodnocení (špatnou známkou, krátce po sobě).

Rozhodl jsem se, že předělám formulář hodnocení do původní podoby - opět jsem využil jednoho z návodů - tentokrát zde na fóru - myslím, že něco podobného, ale nejsem si příliš jistý ( [http://www.phprs.net/forum/read.php?28,13380] )

A po nasezení této změny se už hodnocení článků, které bych z logu já osobně označil jako spamové neobjevilo...

Vím, jak phpRS přistupuje k proměným z hodnocení článků a tedy by toto řešení nemělo pomoct... ale fakt to pomohlo...

proto bych se chtěl ještě zeptat, jak je to možné? osobně si v současné době myslím, že spamové hodnocení generoval určitě nějaký robot, který prostě následoval odkazy - a když se nahradily odkazy za tlačítka přestal je následovat... myslíte, že je to možně?

Tohle hvezdickove hodnoceni jsem taky na jednom webu nasazoval, doufam ze to nebude delat problemy...

Tak tak, s poslední větou se dá pravděpodobně souhlasit. Nějakej robot co prolejzá web a kliká na "všechno".

--
[ SAFUS.EU | OFFLINE | FOREVER ]

Jasné, možné to samozrejme je. Pravdepodobne ten robot prehľadával HTML kód a hľadal linky v tvare <a href="... a ak našiel link nasledoval ho podľa známky - možno tak, aby vložil zlé hodnotenie. Skôr ale to negatívne hodnotenie bola náhoda - predpokladám, že to ale nebola nejaká schválnosť, pretože ak by to niekto chcel spraviť zámerne, spravil by to oveľa jednoduchšie. Vyzerá to skôr na nejakého robota harvestera alebo nejaký scanner napísaný na úplne iný účel. Hlasovanie bude asi len vedľajší produkt jeho behania po webe. Chcelo by to pozrieť logy webservera, z toho by si vyčítal viac.



Celkem upraveno 2×. Poslední úprava pa3k v 05.08.2006 13:31.