Cīņa ar foruma spambotiem

Ja gatavajos risinājumos (piem., wordpress), kur pastāv risks, ka formas (diskusiju, reģistrācijas, u.c.) aizpildīšanā varētu piedalīties arī foruma spambots, ir par to padomāts, tad risinājumos, kuri tiek veidoti pašu spēkiem, par šādu aizsardzību ir jādomā pašam.

Foruma spambots līdzīgi kā e-pasta spambots izsūta tiešā vai pastarpinātā veidā nevēlamus komerciālus sūtījumus. Rezultātā, ja tā ir diskusiju forma, tad iegūstam daudz un dažādu ziņojumus ar saitēm uz citām lapām vai saturu, kas neattiecas uz tēmu.

Principā, foruma spambots ir programmiņa, kur kaut kādā veidā sapratusi, ka lapā ir aizpildāmā forma un to sāk izmantot, pievienojot dažāda tipa tekstus. Lai situācija nebūtu triviāla, šāda izsūtīšana var notikt (kas parasti tā arī ir) caur inficētiem datoriem. Rezultātā, iegūstam pavisam legālas IP adreses ar pilnīgi crazy ziņojumiem, kuras tā īsti nobanot nesanāks.

Daži mīti

- Kāds speciāli (un manuāli) kopē visādu drazu.
- Spambots apzināti izvēlējies tieši jūsu lapu.
- Spambotiem piemīt loģika. Respektīvi, spamboti saprot, kā un ko formā jāaizpilda.
- No spambotiem var atrakstīties atverot kādu no norādītām saitēm.

Dažas patiesības

- Reti kurš spambots izpilda JavaScript, Java, ActiveX vai Flash.
- Spamboti parasti „nerunā” latviešu valodā, toties var runāt krievu valodā :(
- Daži spamboti spēj atpazīt attēla kodu (capcha).
- Spambota patiesā IP adrese parasti nav nosakāma.
- Lielākoties spambots aizpilda visus formas lauciņus.

Cīņa ar spambotiem (forums, komentāri)

1. Vienā sesijā (vai no vienas IP) var pievienot tikai vienu ziņojumu.
2. Grafiskais kods (CAPCHA).
3. Tekstuālā validācija - uzdod jautājumu, uz kuru lietotājam jāatbild.
4. Grafiskā validācija - parāda attēlu un jāizvēlas viens no variantiem, kas tur attēlots.
5. Trešo pušu rīki. Piemēram – Aksimet (http://akismet.com/). Šeit vēlos vērst uzmanību, ka DNSBL nederēs. Jo, ja upura dators ir inficēts, tad tas visticamāk būs BlackListē, līdz ar ko e-pastu izsūtīt nevarēs (kas ir loģiski), savukārt kāpēc lai šāds lietotājs nevarētu aizpildīt formu?
6. Iepriekšējā reģistrācija. Ņemot vērā, ka tā arī ir forma, tad arī šeit pastāv risks, ka aktīvu dalību var ņemt spamboti.
7. Vienotās reģistrācijas izmantošana (piem., openID).
8. Atslēgas vārdu čekošana (url, sex, porno, viagra, u.c.).
9. Ar javascript palīdzību nospiežot uz submit pogas pārprasa – „nēesi bots?”, ja atbilde pozitīva, hidden lauciņā ieraksta kādu vērtību. Ja vērtība nav norādīta vai nav īstā, tad forma netiek apstrādāta.

Cīņa ar spambotiem (reģistrācija)

1. Reģistrācija vairākos soļos.
2. Grafiskais kods (CAPCHA).
3. Ierobežojums pēc valstīm (piem., LV only).
4. Grafiskā validācija.
5. Tekstuālā validācija.
6. DNSBL un e-pasta validācija.
7. Reģistrācijas apstiprinājums (izsūtot e-pastu, kur norādīta aktivizācijas saite).