Forum PHP.pl > Bot na stronie - zachowanie i detekcja

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: Bot na stronie - zachowanie i detekcja

Blame

15.05.2011, 14:55:26

Siemka!
Ostatnio wziąłem się za pewien projekt gry przeglądarkowej. Jak wiadomo taką grę trzeba jakoś zabezpieczyć przed botami automatycznie wykonującymi pewne prace itp. Oczywiście rejestracja wymaga potwierdzenia linkiem z e-mail'a. Problem pojawia się z logowaniem. Nie chciałbym dodawać żadnej captchy bo wiem, że jest to dość uciążliwe rozwiązanie dla użytkownika. Stwierdziłem, że najlepszym pomysłem będzie wychwycenie podejrzanych zachowań i na ich podstawie wykrywanie czy ktoś używa automatu czy nie. Teraz pytanie do was, na co powinienem zwracać szczególną uwagę? Jakie są zachowania charakterystycznie dla botów? I ostatnie: czy ew. logowanie każdej akcji użytkownika do bazy to duże obciążenie dla serwera?
Z góry dzięki za pomoc

O$iek

15.05.2011, 15:04:25

Cytat

potwierdzenia linkiem z e-mail'a

Żadne zabezpieczenie

Cytat

Nie chciałbym dodawać żadnej captchy

W większości przypadków jw.

Logowanie każdej akcji do bazy chyba jest w stanie zajechać każdy serwer przy dużej oglądalności. Chociaż Facebook prawdopodobnie loguje od cholery danych, które potem może wykorzystać, ale to jednak trochę inna liga.

mlawnik

15.05.2011, 15:30:17

Zamiast captchy spróbuj ASIRRA
http://research.microsoft.com/en-us/um/red...rojects/asirra/

Co prawda to micro$hit, ale to rozwiązanie akurat dobre mają.

Tutaj example:
http://www.asirra.com/examples/ExampleService-PHP.html

I tu art po polsku:

http://blog.kmg.hcm.pl/captcha-i-asirra/

Blame

15.05.2011, 15:50:34

ASIRRA to ciekawe rozwiązanie ale ja szukam czegoś bardziej kompaktowego. Wyjeżdżanie z 12 obrazkami to nie jest coś czego bym chciał. W sumie to najprościej byłoby zmienić zawartość formularza za pomocą JavaScriptu ale to z kolei sprawi problemy użytkownikom, którzy mają go wyłączonego.

thek

15.05.2011, 16:12:53

Właśnie najlepiej kombinować z JS. Boty z reguły działają o cURL i podobne technlogie, a to znaczy, że JavaScript i jego manipulacje, choćby w DOM, są dla nich niewidoczne

A jeśli już ktoś gra w grę przeglądarkową, to niemal murowane, że ma JS włączony

mlawnik

15.05.2011, 16:16:38

Cytat(ASIRRA FAQ)

Will it work for my users with slow Internet connections? That's a lot of images to download.

The average size of the images in our database is about 3,100 bytes. Our challenges currently use 12 images, or an average of about 37,000 bytes for the entire challenge. That's not too big compared to other objects found on typical web pages, and should be downloadable by a 56k modem user in about 10 seconds.

Za dużo w sensie kB czy ilości (12)?

Blame

15.05.2011, 16:35:02

Za dużo w sensie miejsca jakie zajmuje cała łamigłówka. Nie oszukujmy się, jest to rozwiązanie raczej mało poręczne np. przy wąskim pasku logowania tak jak na tym forum u góry

Wydaje mi się, że zabezpieczę się po prostu jakąś manipulacją w JavaScript, a dla tych, którzy tego zabezpieczenia nie przejdą albo dam komunikat o wymaganym JS albo zaserwuję reCaptche.
W sumie thek rozwiałeś moje wątpliwości. Temat do zamknięcia

outsider

15.05.2011, 16:37:32

Cytat(Blame @ 15.05.2011, 16:50:34 )

W sumie to najprościej byłoby zmienić zawartość formularza za pomocą JavaScriptu ale to z kolei sprawi problemy użytkownikom, którzy mają go wyłączonego.

Tak, tylko za "zawartość" musiała by być unikalna dla każdej, powiedzmy sesji. Bo ktoś kto zrobi bota, nie będzie parsował kodu, on będzie już wiedział co ma przesłać. Chyba, że napotka trudną captche, lub inne zabezpieczenie, które będzie wymagało czegoś, co potrafi tylko istota myśląca

mlawnik

15.05.2011, 16:44:11

Czyli odróżnianie kotów od psów.

Nawet add-on do wordpressa napisali, a sam byłem inicjatorem przystosowania tego pod phpBB by przemo.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.