Takze jsem premyslel jak na ty zasr... roboty.

Napadla me tahle varianta:

Při načtení stránky s formulářem si uložit do session cas (např. unixtime).

Po odeslani formulare si ve scriptu ktery zpracovava formular vzit cas ulozeny v session z predchozi stranky a porovnat jej s aktualnim casem.

Pokud to bude robot, pak by mezi nactenim formulare a odeslanim mela byt velmi kratka doba cca do 2 vterin.

Za tu dobu normalni clovek neni schopen formular vyplnit, takze pokud by rozdil byl mensi nez 3 vteriny, tak bych to neukladal povazoval bych to za robota.

Co vy na to, mohlo by to fungovat?

Dik za nazory
cZip

Yo, toto mi funguje, akurát to robím BEZ session a istím to ešte jednou fintou. Pozri HTML výstup tohto msg boardu [http://www.nicnove.sk/board.php] Ono robot môže nasosnúť formulár a používať ho v budúcnosti, takže to že negenerujem session, riešim časovou "platnosťou" razítka min. max., t.j. formulár príjmem ak je čas > 5 sec. a zároveň < 1 deň.

Trend antispam ochrany je momentálne captcha alebo kontrolná otázka autopmaticky doplňovaná JavaScriptom a nastavená tak aby sa ani nezobrazila.

to pa3k:
to je pravda, ale pokud to budes mit v promenne ve formulari tak i kdyz to bude protazeny pres base64 tak to neni problem zmenit.

Pokud to budu mit v session, tak se o tom ani ten robot nedozvi a nebude to mit nikdo ani jak vypatrat.

Jo a navic pokud si to ten robot hodi do chache tak si tam urcite neulozi session, takze pokud neco posle do WRITE scriptu tak ho bez toho casu v session taky vykopnu...

Nicmene omezit tu platnost od do je dobry.

cZip

Myslim ze base64_decode robota len tak nenapadne :) navyše ak nevie čo je obsahom premennej (timestamp) tak je mu to pa dve veci. Samozrejme sa dá časové razítko zakodóvať zložitejšie napríklad XOR na string timestampu cez iný string, ktory je pre každý web jedinečný, napríklad $wwwname alebo $baseadr. Fantázii sa nedze nekladú ;)
BTW: riešil som to tak preto, lebo som sa chcel vyhnúť práve použitiu session ako aj databázy.

Ešte jedna vec. Ak je server konfigurovaný na "session len pre cookie" (SID nevybieha do URL), tak session riešenie zablokuje všetkým ktorí majú zakázané cookies pridávanie príspevku.

Navyše táto sranda s časovým razítkom je len prvá barikáda, skús na ten board vložiť to čo je spoloťné pre všetky spamy url= prípadne <a href= ;) otestovať môžeš kľudne tu: [http://www.kvalitne.sk/koncepty/nicnove/board.php]

PS: tak zistil som, že string "url=" netestujem, zatiaľ som ale nemal ani náznak spamu a toto riešenie používam všade. Všimni si ako sa prenáša captcha text :) uznávam, že úspech tohto riešenia je založený na tom, že nie je hromadne rozšírené :) takže pre plugin pod GNU/GPL by to chcelo trošku lepšie zabezpečiť, systém ale IMHO môže byť tento istý. Spamovací robot má problém už len s tým aby zreťazil dva kroky :) nie to ešte aby v oboch kkoroch niečo dekódoval. Toto je aj dôvod prečo majú úspech antispamové "riešenia" vo forme povinného náhľadu príspevku pred jeho odoslaním :)



Celkem upraveno 1×. Poslední úprava pa3k v 25.09.2006 15:46.