Bots registrieren sich weiterhin auf der Website, obwohl CAPTCHA aktiviert ist

Antworten:

6

Diese Art von Captcha wird von der OCR-Software in Bots leicht erkannt. Sie können verwenden:

  • reCAPTCHA - es war vor nicht allzu langer Zeit gut und es stoppt immer noch einen bedeutenden Teil der Bots, die reguläre CAPTCHAs lösen würden

  • Bist du ein menschliches PlayThru - ein bisschen zeitaufwendiger für Benutzer, zumindest wenn normales CAPTCHA lesbar war, aber im Moment sehr solide, wie ich weiß, da es nicht sehr gut durch Software ersetzt werden kann.

  • Zuversichtlich CAPTCHA - basiert auf der Fähigkeit des Menschen, Dinge zu erkennen und zu benennen, die wir sehen. Die dafür benötigte CPU-Leistung ist erheblich höher als die für die Texterkennung (Sie können die Texterkennung auf Mobiltelefonen ausführen, und die Google-Katzenerkennung verwendete meines Erachtens 64.000 CPU) Energie billiger, dies ist eine ziemlich gute Möglichkeit, Robotererkennung bereitzustellen.

  • Mollom kann möglicherweise verwendet werden, um den Versuch zu erkennen, Spam-Inhalte zu veröffentlichen und Benutzer automatisch zu löschen. Wäre ein ziemlich kompliziertes Setup erforderlich, würde aber das tatsächliche Verhalten des Benutzers beeinflussen, sodass es sich möglicherweise um eine sehr ehrliche Methode handelt (und auch menschliche Spammer, die von Natur aus CAPTCHAs lösen können).

Mołot
quelle
Spielt mit denen in den kommenden Tagen und teilt die Ergebnisse. Prost.
Ivan Ivanov
@IvanIvanov Antwort aktualisiert
Mołot
2
Ich hatte großen Erfolg mit Are You A Human.
greg_1_anderson
Am Ende habe ich reCAPTCHA verwendet, das einfach zu implementieren ist und bisher sehr gute Erfolge erzielt hat.
Ivan Ivanov
7

Um gefälschte Registrierungen gezielt zu blockieren, habe ich das Projekt MotherMayI als große Hilfe empfunden .

Mother May I bietet eine einfach zu verwendende zusätzliche Hürde, um die Mühe von Spam-Kontoanforderungen zu verringern. Dies ist in erster Linie für Websites mit einer begrenzten Zielgruppe hilfreich (zumindest für authentifizierte Konten), auf denen gültige Benutzer einige Nebeninformationen zur Gruppe haben. Der Site-Administrator kann ein ortsspezifisches "geheimes Wort" definieren. Jeder, der ein Konto anfordert, muss das geheime Wort eingeben, bevor ein temporäres Konto erstellt wird.

Wie der zitierte Text sagt, ist es am besten für Websites mit einer begrenzten Zielgruppe geeignet. Mit dem Modul können Sie jedoch einen "Hinweis" geben, der es den Menschen einfacher machen soll, das geheime Wort zu finden, und ich habe diese lächerlich einfache Aufgabe gefunden, bei der der Hinweis "Bitte geben Sie den letzten Cartoon-Buchstaben von Fred Flint ein name "(und das Geheimnis ist" Flint ") funktioniert super.

MotherMayIch erlaube Ihnen, einen langen "Hinweis" -Text zu haben und ein RegExp für die Antwort zu verwenden, aber nur ein "geheimes" Wort zuzulassen.

Es gibt eine Alternative in der CAPTCHA-Familie namens Captcha Riddler , die ähnlich funktioniert. Es können mehrere Rätsel definiert werden, um Menschen von Robotern zu trennen. Es sind jedoch nur kurze Texte für Rätsel zulässig und es gibt keine RegExp-Funktion.

Da Sie das "geheime" Wort (MotherMayI) oder "Rätsel" (Captcha Riddler) definieren, sind diese Methoden immuner gegen die "Trainings" -Funktion von Xrumer und anderen Schädlingen. Dies bedeutet, dass der Bot speziell für Ihre Site geschult werden muss. Wenn Ihre Website nicht wirklich riesig ist, können Sie lange Zeit unter dem Radar fliegen. Und es ist trivial, das geheime Wort oder Rätsel zu ersetzen, wenn der Roboter darauf trainiert ist, Ihre Site zu erkennen.

Bist du ein Mensch? Playthru (auch von Mołot erwähnt) gehört zum selben Genre wie die beiden vorherigen, ist aber für Menschen etwas umständlicher zu "lösen".

Freie Radikale
quelle
Danke Gisle, MotherMayIch sehe wirklich interessant aus, aber es passt nicht sehr gut zu meinem Projekt. Ich werde einen Blick auf "Are You A Human Playthru" werfen, scheint wirklich nett und mit guten Ergebnissen. Prost;)
Ivan Ivanov
5

Eine weitere Option ist die Verwendung des Honeypot- Moduls.

Honeypot verwendet sowohl die Honeypot- als auch die Timestamp-Methode, um zu verhindern, dass Spam-Bots Formulare auf Ihrer Drupal-Site ausfüllen (mehr dazu hier). Diese Methoden sind gegen viele Spam-Bots wirksam und nicht so aufdringlich wie CAPTCHAs oder andere Methoden, die den Benutzer bestrafen [YouTube].

Scott Joudry
quelle
4

Wenn Sie mit der Programmierung vertraut sind, fügen Sie ein verstecktes Kontrollkästchen hinzu. Bots versuchen, alles auszufüllen, damit sie es nicht verbergen. In der Validierungsprozedur -> wenn dieses Kontrollkästchen im> Filter ausgefüllt ist

Du wirst brauchen hook_form_alter()

OV
quelle
1
Ihre Antwort ist nicht mehr gültig. Diese Methode war so beliebt, dass Bots jetzt versteckte Felder ziemlich gut erkennen. Die intelligentesten verwenden eine Engine aus einem echten Browser und OCR, um zu testen, ob das Kontrollkästchen mit der angegebenen Beschreibung für den echten Benutzer sichtbar ist, und lassen es aus, wenn dies nicht der Fall ist. Mehr Dumme testen nur, ob es die gängigsten Dutzende von Möglichkeiten gibt, Dinge mit CSS zu verbergen, und das ist auch ziemlich effektiv. Vergessen Sie display:none, z-index, position, overfolwund so weiter. Und wenn Sie wissen, welche Methode funktioniert, funktioniert sie erst einige Wochen nach dem Posten.
Mołot
3
Danke für das Feedback der Antwort. Aus Gründen der Argumentation habe ich NUR diese Methode implementiert, und die Spam-Benutzer nahmen drastisch ab (etwa 99%)
OV
1
Also war ich ein Ziel der nächsten Generation von Bots. Ich fühle mich jetzt so geschätzt: D
Mołot
4

Ich habe viele Captcha-Konfigurationen ausprobiert, wobei die meiste Zeit die Ergebnisse getäuscht wurden. Aber ich fand das Graal, um Bots definitiv zu vergessen: Botcha .

Dieses Modul ist aus zwei Gründen erstaunlich:

  • Ich habe nie mehr Spam von meinen Formularen erhalten.
  • Es ist benutzerfreundlich, da es vollständig transparent und nicht aufdringlich ist.

Wie das Projekt sagt: Spambots haben gelernt, CAPTCHA wirklich gut zu umgehen, und echte Benutzer sind mit der zunehmenden Komplexität und Belastung von CAPTCHA frustriert. Stattdessen lässt BOTCHA Spambots beweisen, dass sie Bots sind, und echte Benutzer vorbeiziehen.

Kojo
quelle
Eigentlich scheint dies ziemlich interessant, ich kann es versuchen. Vielen Dank, dass Sie es mit uns teilen.
Ivan Ivanov
Vielen Dank für die Empfehlung, heute installiert, wird sehen, ob es hilft.
NPC
4

Haben Sie die Möglichkeit in Betracht gezogen, dass Menschen (die einen miserablen Betrag pro Formular gezahlt haben) die Formulare ausfüllen und keine Bots? Meine Website erhält täglich Dutzende von Spam-Registrierungen, früher waren es Hunderte. Wir haben Riddler und ähnliche Techniken ausprobiert, aber sie kommen an jedem CAPTCHA vorbei.

Die beste Lösung, die wir gefunden haben, ist die Verwendung von Views Bulk Operations , um neue Registrierungen zu überwachen. Während der Geschäftszeiten blockieren wir Spammer einige Male am Tag, nach den Geschäftszeiten sind sie standardmäßig blockiert und wir genehmigen sie am nächsten Tag.

R. Durham
quelle
2

Ich habe große Erfolge bei der Reduzierung der Spam-Registrierung mit dem Spambot- Modul erzielt . Es stellt eine Verbindung zur StopForumSpam-API her und verhindert, dass IP-Adressen und E-Mail-Adressen mit Einträgen in ihrer Datenbank übereinstimmen.

Darüber hinaus können Sie mit dem Modul Ihre Benutzerbasis nachträglich auf falsche Benutzerkonten überprüfen und diese nach Belieben entsperren / löschen. Sie können auch neue gefälschte Konten an die SFS-Datenbank melden, wenn Sie einen API-Schlüssel generieren.

Ein weiteres großartiges Tool im Kit zur Lösung dieses Problems.

njp
quelle