kaip apsisaugoni nuo flooderiu

Sveiki, kaip galima apsisaugoti nuo flooderiu kurie su programom kazkokiom ilenda i puslapio ir kuria pvz naujus vartotojus ar raso zinutes i sekunde begale vartotoju, patarkit. :)

Ikeliu pvz ka gauna mysql. Beto taip patt kurdamas nerodo IP bei rodo ka jis pats nori (manau tai su kazkokia programele) Kaip tai isvengti

ACIU!

Tai galbūt tiesiog nėra įdėtas Capthcha ( patvirtinimo kodas, nepamenu tiksliai kaip jis vadinasi ) , tiesiog kai registruojasi reikia įvesti patvirtinimo kodą, arba tu tiesiog jį išjungiai?

http://lt.wikipedia.org/wiki/CAPTCHA

Dar gali naudoti laiko apsauga, tarkim šiam tinklalapi per minute negali parašyti 2 pranešimų, toks variantas irgi tiktu, arba gali tarkim padaryti vienam IP viena registracija galima.

o pvz su mysql lentelem galima zaisti? pvz gal kur galima nustatyti jog neleistu ikelti i kelunde 3 eiluciu ar kazkas panasaus nes su captcha tik ant registracijos galima padaryti o ant pvz tokiu jog chato zinuciu ar privaciu kokiu zinuciu rasymas su captcha manau nesamone butu vartotojam atsibostu kekviena karta ivedineti

o pvz su mysql lentelem galima zaisti? pvz gal kur galima nustatyti jog neleistu ikelti i kelunde 3 eiluciu ar kazkas panasaus nes su captcha tik ant registracijos galima padaryti o ant pvz tokiu jog chato zinuciu ar privaciu kokiu zinuciu rasymas su captcha manau nesamone butu vartotojam atsibostu kekviena karta ivedineti

Mysql pats to nedarys, kad 3 eil./sek. Teks iš savo kodo daryti. Captcha ant registracijos, bet iki galo neapsaugos - gali tiesiog priregistruoti accountų rankomis. Tad vis dar geriausias variantas atrodo limitas vienam IP per tam tikrą laiko tarpą.

Ei gi su programom ta IP nerodo, va tame ir esme

Ei gi su programom ta IP nerodo, va tame ir esme

Rodo visada, su proxy tik galima pasikeist, bet vėlgi, riboti tie proxių ištekliai bus. Gali riboti ir IP, ir vartotojui, tarkim 1 per minutę.

Visokiems auto-scriptams, bot'ams gali naudot javascript apsauga, o ne captcha apsunkink savo normalius lankytojus.

Kas ta javascript apsauga yra?

Pirmiausia reikia ivertinti, kad bot'ai (komentaru, registraciju flooderiai) ir kitos automatizuotos sistemos 9 is 10 atveju nesupranta javascripto.

Tai zinant daroma taip (pvz komentaru apsaugai):

1. Pries rodydamas psl sukuri php'e atsitiktini skaiciu ir irasai ji i tavo html form'os hidden inputa ir i sessija , tarkim:

<input type="hidden" name="captcha" val="59">.

2. paciam html'e bet kokioje vietoje (tarkim ten kur baigiasi forma aka po </form>,irasai javascripto koda mazdaug taip(siuo atveju jquery):

$("#captcha").attr("value",$("#captcha").attr("value") * 25);

3. Galiausia, kai forma submitinta, php scripte darai patikrinima ar tavo hidden inputas yra tavo sesijoje esantis atsitiktinis skaicius kart 25.

4. Jeigu ne, reiskias kazkas,tarkim bot'as, bando submitinti forma automatiskai.

Cia tik vienas is variantu ir daugeli atveju jis puikiai veikia, bet yra ir minusu, nes submitinti negales realus zmones pas kurios javascriptas isjungtas ir pan.

Visokiems auto-scriptams, bot'ams gali naudot javascript apsauga, o ne captcha apsunkink savo normalius lankytojus.

 

Kas ta javascript apsauga yra?

Pirmiausia reikia ivertinti, kad bot'ai (komentaru, registraciju flooderiai) ir kitos automatizuotos sistemos 9 is 10 atveju nesupranta javascripto.

Tai zinant daroma taip (pvz komentaru apsaugai):

1. Pries rodydamas psl sukuri php'e atsitiktini skaiciu ir irasai ji i tavo html form'os hidden inputa ir i sessija , tarkim:

<input type="hidden" name="captcha" val="59">.

2. paciam html'e bet kokioje vietoje (tarkim ten kur baigiasi forma aka po </form>,irasai javascripto koda mazdaug taip(siuo atveju jquery):

$("#captcha").attr("value",$("#captcha").attr("value") * 25);

3. Galiausia, kai forma submitinta, php scripte darai patikrinima ar tavo hidden inputas yra tavo sesijoje esantis atsitiktinis skaicius kart 25.

4. Jeigu ne, reiskias kazkas,tarkim bot'as, bando submitinti forma automatiskai.

 

Cia tik vienas is variantu ir daugeli atveju jis puikiai veikia, bet yra ir minusu, nes submitinti negales realus zmones pas kurios javascriptas isjungtas ir pan.

Drįsčiau teigti, kad nelabai vykęs pasiūlymas, drįsčiau suabejoti, kad 9/10 boteriu nesupranta JS, be to tie kurie nesupranta net JS yra tikrai nepavojingi ir ne nuo tokių svarbiausiai yra apsisaugoti.

1)kokio velnio į formą kišti užhaidinta inputą, kai pilnai pakanka sesijos?

2)net ir nesuprantančiam JS butu labai lengva apeiti tokią anti bot "apsaugą" paprasčiausiai išjungian JS, todėl viską reikia pirmiausiai tikrinti serverside kode.

O temos autoriui patačiau naudoti captcha ir susikurti atskirą lentelę duomenų bazėje ir log'ginti IP adresus. Vartotojų kūrimui taip pat gali siųsti confirmation emailą.

Jei botas kuriamas specialiai puslapiui, tai tą jQuery eilutę lengvai išknisi ir tą patį padarysi iš savo bot'o kodo (surasi skaičių, padauginsi iš 25 ir išsiųsi).

Mano pasiulytas sprendimas skirtas apsaugai nuo bot'u spameriu, kurie narso internete ir spamina visur kur mato formaas html'e , o ne individualiai pries tave vygdomos atakos.

To luknei:

Parodyk man nors viena bot'a kuris js supranta? :)

1)nepagavai mechanizmo

2)apsauga neskirta pries individualias atakas pries tave. Kiekviena karta sukurus puslapi su bet kokiom formom tu gausi flooda is bot'u spameriu, tam ir skirta mano apsauga, kad apsisaugoti, tai yra pirmoji pagalba, o kai matysi, kad kas individualiai spamina tai tada jau reiks imtis kitu sprendimu.

Captcha yra pats blogiausias sprendimas koki tik galima pasirinkti, ziurint is lankytojo puses. Kodel as turiu ivedineti kazkokius dar captcha, jeigu tu nemoki kitais budais apsisaugoti nuo flood ataku. Kaip pvz sukurk pusalpi kur galima komentuoti ir idek captcha, tavo lankytoju aktyvumas komentuojant sumazes 40%.

Dar vienas variantas - tiesiog naudoti Akismet, kuris asmeniniams tinklalapiams yra nemokama. Jei eina standartinis spamas, tikrai apsaugos gerai.

Mano pasiulytas sprendimas skirtas apsaugai nuo bot'u spameriu, kurie narso internete ir spamina visur kur mato formaas html'e , o ne individualiai pries tave vygdomos atakos.

 

To luknei:

Parodyk man nors viena bot'a kuris js supranta? :)

 

1)nepagavai mechanizmo

2)apsauga neskirta pries individualias atakas pries tave. Kiekviena karta sukurus puslapi su bet kokiom formom tu gausi flooda is bot'u spameriu, tam ir skirta mano apsauga, kad apsisaugoti, tai yra pirmoji pagalba, o kai matysi, kad kas individualiai spamina tai tada jau reiks imtis kitu sprendimu.

 

Captcha yra pats blogiausias sprendimas koki tik galima pasirinkti, ziurint is lankytojo puses. Kodel as turiu ivedineti kazkokius dar captcha, jeigu tu nemoki kitais budais apsisaugoti nuo flood ataku. Kaip pvz sukurk pusalpi kur galima komentuoti ir idek captcha, tavo lankytoju aktyvumas komentuojant sumazes 40%.

Neesu botu specialistas, bet JS apeiti tikrai nera sunku ir apskritai, bet kokia apsauga diegiant reikia suprasti, kad ji turi būti diegiama sever-side, o darant maksimaliai user-friendly interface'a naudoti JS.. Žodžiu bergždžia diskusija..

sutinku bergždžia diskusija, jei net nezinai kaip bot'ai veikia :)

Dar butu galima, vardant peformance daryti kompleksine apsauga, t.y. mano pasiulytas js + ijungiama server side flood detect , jeigu js praejo ir pan, bet tikrai ne captcha, blogiausiu atveju captcha tik registracijoje.

sutinku bergždžia diskusija, jei net nezinai kaip bot'ai veikia :)

Bergždžia diskusija, nes nesupranti, kad tokia apsauga - bevertė. Net ir man nei karto nesinaudojusiam "botu" būtų super paprasta užfloodinti ar tai komentarų skiltį ar ką kitą. Galiu pateikti trumpa pavyzdį, kiekvienas bent kiek suprantantis html ir php, gali atsidaryti page source, pažiūrėti formos action laukelį ir apeiti ta tavo JS, o toliau jau su kokiu cURL užpostinti n...... užklausų t.y. užpostint N komentarų ar sukurti N userių.. Todėl ir visa apsauga privalo vykti server-side kode.

Jei forumas LT idek klausima kuri praktiskai tik lietuvis gali atsakyt ir kurio neiseitu issiverst, kad ir "Parasyk tr1s a raid3s" ar kazka pan. Dar gali ijungt apsauga, kad nauju vartotoju pirmas komentaras turi buti patvirtintas moderatoriu manau visi forumai toki dalyka turi.

Bergždžia diskusija, nes nesupranti, kad tokia apsauga - bevertė. Net ir man nei karto nesinaudojusiam "botu" būtų super paprasta užfloodinti ar tai komentarų skiltį ar ką kitą. Galiu pateikti trumpa pavyzdį, kiekvienas bent kiek suprantantis html ir php, gali atsidaryti page source, pažiūrėti formos action laukelį ir apeiti ta tavo JS, o toliau jau su kokiu cURL užpostinti n...... užklausų t.y. užpostint N komentarų ar sukurti N userių.. Todėl ir visa apsauga privalo vykti server-side kode.

Ka cia durnam aiskinsi. Gi raciau, kad si apsauga nuo masiniu flood bot'u, o ne nuo individuoliu ataku (kaip kad tu sakai paziurim kas source ir darom).Pradziai isisavink dvi skirtinkas savokas, nes matau komentuoji neisigylines i mano pasiulyma. Aisku, kad kiekvienas gali paziureti source ir daryti pagal tai ataka, bet bot'ai nemoka analizuoti sourco, jie tik skaito ir elgiasi pagal tam tikras programuotojo numatytas taisykles. Jeigu man reiktu daryti individualia ataka pries tavo psl tai ir tavo tas captcha nepadetu, nes as galeciau imesti petransliuodamas tavo captcha i koki kita savo high trafic puslapi, kur man tavo captcha kiti zmones to nezinodami ivedinetu, taip kad is tavo captchos butu 0 naudos.

10 metu naudoju panasias sistemas ir problemu del masiniu bot'u floodo neturiu.

p.s. net google bot'ai nesupranta js. Ne del to kad negaletu suprasti , bet del to, kad tai valgytu per daug resursu.

Visokiems auto-scriptams, bot'ams gali naudot javascript apsauga, o ne captcha apsunkink savo normalius lankytojus.

 

Kas ta javascript apsauga yra?

Pirmiausia reikia ivertinti, kad bot'ai (komentaru, registraciju flooderiai) ir kitos automatizuotos sistemos 9 is 10 atveju nesupranta javascripto.

Tai zinant daroma taip (pvz komentaru apsaugai):

1. Pries rodydamas psl sukuri php'e atsitiktini skaiciu ir irasai ji i tavo html form'os hidden inputa ir i sessija , tarkim:

<input type="hidden" name="captcha" val="59">.

2. paciam html'e bet kokioje vietoje (tarkim ten kur baigiasi forma aka po </form>,irasai javascripto koda mazdaug taip(siuo atveju jquery):

$("#captcha").attr("value",$("#captcha").attr("value") * 25);

3. Galiausia, kai forma submitinta, php scripte darai patikrinima ar tavo hidden inputas yra tavo sesijoje esantis atsitiktinis skaicius kart 25.

4. Jeigu ne, reiskias kazkas,tarkim bot'as, bando submitinti forma automatiskai.

 

Cia tik vienas is variantu ir daugeli atveju jis puikiai veikia, bet yra ir minusu, nes submitinti negales realus zmones pas kurios javascriptas isjungtas ir pan.

Pralinksminai, labai pralinksminai. Seip pralinksmino visi atsakimai.

P.S.

http://en.wikipedia.org/wiki/POST_(HTTP)

Sveiki, kaip galima apsisaugoti nuo flooderiu kurie su programom kazkokiom ilenda i puslapio ir kuria pvz naujus vartotojus ar raso zinutes i sekunde begale vartotoju, patarkit. :) ACIU

Tingiu skaititi visa posta, taciau autoriau, jai naudoji wordpress, galiu pasiuliti viena paprasta sprendima

Pralinksminai, labai pralinksminai.

 

P.S.

http://en.wikipedia.org/wiki/POST_(HTTP)

 

 

Tingiu skaititi visa posta, taciau autoriau, jai naudoji wordpress, galiu pasiuliti viena paprasta sprendima

ka tu cia norejai su post pasakyt?

p.s. net google bot'ai nesupranta js. Ne del to kad negaletu suprasti , bet del to, kad tai valgytu per daug resursu.

Visiskai teisus tu))) Google botai ziuti tinklapi per Chrome narsykle!1111

Pralinksminai, labai pralinksminai.

 

P.S.

http://en.wikipedia.org/wiki/POST_(HTTP)

 

 

Tingiu skaititi visa posta, taciau autoriau, jai naudoji wordpress, galiu pasiuliti viena paprasta sprendima

You, you, you nesigincyk!!! Zmogus jau virs 10 metu uzsiima web developinimu tik gaila, jog zinios uzsibaigia ties carsku gidu kuris pasiklydes metosi tarp "php-fusionistu". :x

ka tu cia norejai su post pasakyt?

Perskaicius gal suprasi botu veikimo principus. Dar ir apie get'a gali perskaititi.

zinok as nesuprantu , gal paaiskinsi? :)

zinok as nesuprantu , gal paaiskinsi? :)

Be problemu, stai http://apieviska.info/get-ir-post-duomenu-perdavimo-metodai-formos/

na ir? taigi botas nesugebes ivygditi javascripto $("#captcha").attr("value",$("#captcha").attr("value") * 25);

t.y. jis postins captcha.value ,bet ne captcha.value * 25

matau nesupranti esmes.