Názory k článku
Spam v diskuzních fórech: marný boj?

Třetí způsob je podstatně promyšlenější a mnohem hůř se proti němu brání. Spam se totiž vydává za regulérní příspěvek do diskuze, ovšem kýžený odkaz na propagované stránky v něm samozřejmě nechybí. V České republice se však zatím s tímto způsobem příliš nesetkáváme. ja v diskuzich na webu nic jineho nemam, a takovychto prispevku je az 200 za den vetsinou je to reklama s odkazy na zvoneni do mobilu, viagru a dalsi podobna leciva, eroticke stranky, ale i sluzby motoristum v nouzi... a dari se mi je blokovat vcelku ucinne a zpusobem, ktery nijak normalni uzivatele neomezuje (nevnucuje jim neco dalsiho opisovat, resit hadanky apod.)

ja se domnivam, ze nejlepsi ochranou proti temto spamum je jedinecnost reseni, proto taky na dvou webech, ktere spravuji mam u kazdeho trochu jine reseni a proto se mi nechce ochranu zverejnovat, nebot pak by se snadno naslo reseni, jak ji obejit

a jinak zde je odkaz na cesky web, kde je plno spamu vlozeneho jako regulerni prispevek

http://www.trosky.cz/valekniha/cti01cz.asp

Souhlas,
globálně používané řešení je pro prolomení zajímavé. Nějakým, byť primitivním, řešením na malém projektu se nebude nikdo zabývat.
Také používám vlastní řešení, v němž navíc hřeším na češtinu.

Také jsem to moc nepochopil, spamy tvářící se jako běžný příspěvek jsou běžné. Možná tím původně bylo myšleno, že se neobjevují takovéto příspěvky v češtině -- tedy anglicky psaný příspěvek na jinak českém fóru, o němž se dá říct, že se nesnaží tvářit "nenápadně jako běžný příspěvek".

1) Nebyl by nejaky odkaz na popis, jak roboti obejdou e-mailovou aktivaci? Abych mohl posoudit, nakolik to skutecne je neucinne a stoji to za uplne vyrazeni.

2) Ochranu javascriptem nepovazuji za dobrou, mimo jine proto, ze jsem jednim z tech 1.19%, kteri javascript vypinaji :-)

3) Pomerne se mi osvedcuje (tzn. za posledni rok ani jeden spam) kombinace zakazanych slov a povoleni jen nekolika malo odkazu, oboji jen u novych uzivatelu (mene nez X platnych prispevku).

k 1) jednoduše, připojí se přes POP3 ke schránce, vyparsují URL, na kterou mají zajít a navštíví ji (připadně ještě copy pastnou nějaký kód do této stránky z emailu), tohle je poměrně primitivní (mám koupený podobný program)

k 2) chyba, není nad formulář, co se ověřuje JavaScriptem, pak ten JavaScript vytvoří sušenku a ta se pak až načte skriptem, který provede další ověření a uložení do databáze :) prostě dokonalý maglajz, který všude používám

k 3) jojo, na některých fórech nejde poslat URL, pokud nemá člověk odesláno třeba 50 příspěvků, tohle je určitá forma ochrany

Nejlepší antispam pro blog je prostá funkce "náhled komentáře před odesláním". Tak jako to mám na blogu La Trine. Úspěch 100 %. Uživatelům to nevadí a zvedá to kvalitu komentářů.

Nahled mam odjakziva, ale spammerum nevadil. Teprve logicka otazka nas spamu (prozatim) zbavila. Pro uzivatele je to vylepseno tim, ze se v pripade uspesneho projiti testu ulozi cookie, ktera je tohoto testu priste zbavi. Nicmene nedelam si iluze, ze kdyby muj RS byl rozsiren, ze by tuto ochranu brzy nekdo nenaboural.

A není možné, že lze komentář odeslat i bez náhledového kolečka, tedy pouhým jedním požadavkem na server?

Pak by ale musel umet neposlat jako parametr jmeno jedineho tlacitka ve formulari. V prvnim kroku je u formulare tlacitko Nahled, v nahledu se objevi navic i Ulozit. Komentar se ulozi, teprve kdyz pozadavek neobsahuje parametr preview.

Mám naprosto shodné řešení (včetně cookie). A ano, náhledový systém přelouskne dnes kdejaký bot, je s podivem,že La Trine nikoliv.

Nám zatím stačilo, že jsme:
- do formulářů dali skryté políčko, které když se vyplní, tak je příspěvek smazán,
- u políček nastavili max. možný počet URL (spam, který jsme dostávali, obvykle cpal odkazy téměř do všech políček),
- začali filtrovat všechny příspěvky obsahující [/url] (ve spamech velmi často byly odkazy ve třech tvarech: bez ničeho, s tagem <a> a s tagem [url]),
- všechny odkazy na komentáře doplnili o rel="nofollow",
- a jelikož jsme poměrně úzce zaměřený web, tak si zatím můžeme dovolit sledovat komentáře a případný spam okamžitě mazat (a zároveň s tím upravovat pravidla pro filtrování příspěvků).

Toto nám zatím zajišťuje, že spam zmizel. Každopádně připravujeme další opatření.

Velmi dobře prý funguje povinný náhled před zobrazením, což i trochu vylepšuje kvalitu příspěvků.

Pokud vím, tak velmi problematický je spam, který je do fór vkládán "ručně". Tj. že si spammer najme pár lidí, kteří chodí z webu na web a vkládají do komentářů spam. Proti tomuto by snad mohlo fungovat tlačítko "Oznámit spam" u komentářů.

jj :-D

Ja bych rekl, ze s IQ ne pod, ale NAD 90. :-)

:)

Tenhle způsob spamování není v žádném případě mrtvý. Stále jej vídám po anglických i českých webech. Ale těžko říct, zda se to dá opravdu považovat za spam, protože většina jeho "provozovatelů" jsou malé ryby, které se prostě chtějí prosadit. A píšou to evidentně ručně (občas i přihodí "relevantní" poznámku).

Dalsi ochrana co zatim funguje - sledovani doby mezi nactenim stranky a odeslanim prizpevku - robot to stiha velmi rychle, cloveku to nejakou dobu trva.
Zajimave reseni je napr. spam karma 2 ( http://unknowngenius.com/blog/wordpress/spam-karma/ ) - sam ho pouzivam na blogu. Nespoleha se jen na jednu vec (skryte pole apod.), neobtezuje captcha, a pritom funguje - sleduje vice veci, vcetne skrytych poli a casu mezi nactenim a odeslanim, kazdou ohodnoti vahou (nastavitelnou) a z vysledku urci jestli jde o spam nebo ne.
Vice na http://wp-plugins.net/doc/sk2/sk2-user-guide/sk2-modules/

O této ochraně jsem přemýšlel. Ale přijde mi, že roboti se s ní mohou velmi snadno vypořádat tak, že načtou formulář, počkají třeba 10 vteřin a pak teprve odešlou spam. Na druhé straně je možné si představit, že někdy budete chtít odpovědět třeba jenom ano/ne, což zvládnete i pod 5 sekund...

Z osobni zkusenosti mi sledovani casu prijde nevhodne, jednak ve skriptu neni problem taky dat nejakou pauzu a take se mi casto stane, ze na nasem phpBB foru potrebuji zeditovat naposledy odeslany prispevek (jen upravit spatny tag apod.) a je tam casove omezeni asi 10 sekund, takze me to stoji jeste 2, 3 refreshe nez se to ulozi

Ale sledovani vice parametru soucasne a vypocitani nejake pravdepodobnosti spamu to zni celkem dobre

Taky pouzivam vlastni reseni a zatim funguje, tak se nezlobte, ze se nepochlubim, jako. Ale vsimnul jsem si ve statistikach, ze i kdyz system zabrani vlozeni spamu do fora, je traffic na tom vkladacim skriptu NEUVERITELNE velky. Napriklad za brezen se skript pro vlozeni zpravy zavolal 4711x, ale vlozenych zprav nebylo ani 5. Jeste pred rokem to bylo tak fifty-fifty..

Tak prave tohoto som sa ja mojim riesenim zbavil. Zbytocnej prevadzky. Roboty na mojich strankach "nevidia" ziadny formular, pokial by ho hladali.

Jedine sa objavuju roboty, ktore "rovno" injektuju data do skriptov, ktore prijimaju submitnute formularove data. V tom pripade ale taketo skripty na webe neexistuju a je vybavene.

Uz niekolko rokov som nemal ziadny spam: tj. ziadny pokus, proste nic, cim by som sa okolo weboveho spamu musel zaoberat.

Uprava kodu ma stala par minut premyslania a to je privela na to za co mi komplet vsetci spameri sveta stoja.

A co Akismet? http://akismet.com/

Do většiny fór existují pluginy nebo moduly pro zprovoznění Akismetu. Nemám s ním zatím zkušenosti, ale provozuju jedno menší fórum založené na PunBB a s hrůzou čekám až si ho nějaký spambot všimne a pak bych asi uvažoval o nasazení Akismetu. Máte někdo zkušenosti?

Akismet používám asi půl roku v kombinaci s dalšími metodami a jsem s ním spokojen. Za celou dobu používání mi do fóra neprošel ani jeden spam a jen několik zpráv mi Akismet ponechal k prověření (odsouhlasení/smazání). Výhoda Akismetu je v tom, že se neustále učí.

Po mnoha pokusech se mi povedlo sestavit opravdu funkční antispam řešení, přes které od jeho nasazení neprošel jediný spam. Jedná se o kombinaci několika dílčích ochran, ve výsledku automatizovaně neprobouratelných. Český návod zde: http://www.dreamface.net/michal/?face=zajimavost&c=31

velmi dobry zpusob a hlavne je to tvoje reseni, ktere vzdy funguji mnohem lepe a ani to nemusi byt nijak extra slozite a otravovat uzivatele

Jak už v diskusi zaznělo - spam vám dá pokoj, pokud vaše ochrana bude jiná, než všude jinde. Jakmile je váš projekt dostatečně významný, případně se váš diskusní systém používá na vícero místech, dříve nebo později to nějakému spamerovi bude stát za to, aby si nad vaším webem hodinku poseděl, podíval se, jak děláte logický matematický test či jaká skrytá pole odchytávají spamboty, a napsal příslušné regexpy a upravil spambota tak, aby prošel.

CAPTCHA je svinstvo mimojiné i pro to, že nevidomí či zrakově postižení obrázek nevidí - a přitom i oni by rádi internet používali...

vychadzas z mylneho predpokladu.

spamerov zaujem je, aby sa jeho data na tom webe udrzali. cize skor hlada weby, ktorych majitelia kaslu na cokolvek, co sa na nich deje.

Z hladiska vyznamu je pre spamera najhorsi webmaster, ktory aktivne maze spamy - je jedno akym sposobom.

Nema to totiz ziadny zmysel pre neho: aky?

No potrebuje mat linky kde kade, aby to zaregistrovali roboty vyhladavacov.

To, ze spam obtazuje aj citlivych webmajstrov, ktori aktivne so spamom bojuju je len vedlajsi efekt toho, ze na svete su miliardy stranok, kde ten spam visiet zostane.

Takze nejake to "preluskavanie" vyznamneho webu - mozno ma vyznam skor u hackera ako u spamera, ktory potrebuje zarabat.

Nemohu souhlasit.

Spamerům bohatě stačí, aby spam zůstal na příslušném místě hodinu, dvě - za tu dobu jej shlédne (u dobře navštěvovaného webu) několik set či tisíc návštěvníků, než se k němu konečně dostane moderátor a odstraní ho.

Koneckonců - velkým problémem v boji proti e-mailovému spamu je, že než případná žádost o zlikvidování spammerského webu (= webu, na který vedou odkazy ze spamových mailů) probublá přes ISP a webhostery, velmi často už web na dané adrese neexistuje - v dnešní době automatizovaných webhostingů a on-line plateb spammer koupí doménu, za 15 minut na ní má rozchozený svůj viagrový e-shop a spouští mailblast řádově milionu spamových mailů na e-maily, které někde získal; během několika hodin začnou chodit objednávky zboží a platby za ně, celá akce se vmžiku zaplatí a každá další hodina = zisk. Co na tom, když o 3 dny později někdo web zruší? Objednávky byly přijaty, placebiagra rozeslána, peníze zinkasovány a "všichni" jsou spokojení.

(Poznámka: Údaje o času zprovoznění spamwebu, objemu mailblastu a životnosti spamwebů v řádu dnů jsem načerpal před cca rokem během oné krátké periody, kdy svůj vzestup a pád zažil Blue Frog; tyto údaje jsem našel na Fórech Blue Frogu a považuji je vzhledem k osobám autorů za velmi přesvědčivé, ale z pochopitelných důvodů nejsem schopen je jakkoliv podložit důkazním materiálem. Má-li někdo informace výrazně odlišné, uvítám upřesnění/opravení - rád se poučím.)

CAPTCHA v phpBB je už v současnosti k ničemu. Na její přečtení totiž není třeba OCR. Obrázek se generuje bez GD knihovny pouhou kombinací binárního "textu". Není tedy problém ve zdrojáku sebrat všechny výchozí řetězce a proces reverzovat (v posdtatě s minimálním výpočetním výkonem).

Tak vyfilrtuj slovo travian ;)

Travian neni debilni a tenhle spam ma jako temer kazdy jiny slusnou uspesnost. Hraji to desetitisice lidi po celem svete a tak je velmi pravdepodobne, ze tohle obcas potka kazdeho z nas. Nic slozitejsiho nez nejakej blacklist na to snad neni treba a nadavat na to a urazet velmi dobrou hru je zbytecny; zrovna tak muzes nadavat na debilni viagru a nijak to nezmeni fakt, ze ji lidi radi kupujou. Nejlepe anonymne, via spam.

No, neni normalni otravovat spoustu lidi i treba necim zajimavym pro nekoho jineho. :-)

Mozna to neni hezky, ale pripada mi to uplne bezny, jinak receno normalni :) Navic v pripade tohoto spamu jde o prilepseni ke hre. A je to moc dobra hra :)

co se tyka spamovani do phpBB, tam se pouziva rusky program XRumer

stacilo pridat par pravidel na jeho chovani (bodovaci system - neumi js a chova se trochu jinak nez normalni prohlizec) a za 1/4 roku neprosel ani jeden spam - z cca 1000 pokusu/mesic

mimoto jsem pro forum zabanoval asi 100 adres, ktere generuji odhadem polovinu spamu (obvykle webhostingy - keyweb.de), pokusy o registraci uzivatelu z ruskych a ukrajinskych adres a pristupy pres anonymizery a otevrene proxy

Do formuláře přidat textové pole s logickou otázkou (nebo spíš příkazem). Např. "Zadejte číslici 9". Pole skrýt via javascript. Pole javascriptem vyplnit (v kódu by nemělo být uvedeno přímo požadované číslo, ale třeba výpočet nebo zaokrouhlení, aby to robot nepřečetl). Výhody:

* Uživatel nemusí nic zádávat (vypíše to javascript).
* Uživatel s JS otázku nevidí.
* Pokud má vypnutý JS, tak se zobrazí otázka.

Používám několik měsíců a žádný robot zatím ochranou nepronikl.

Spam v phpBB jsem vyřešil tak, že se sice opisuje obrázkový kód, ale v opačném pořadí, takže robot nemá šanci. Také při registraci volíte, zda je vám více než xyz let. Také tam jsem udělal malé změny.

Hmm, jenže ve chvíli kdy ten Váš web bude trochu větší a bude spamerovy stát za pět minut práce tak jsou tyhle změny tak na dvě věci.

...kombinace dvou metod.

1. Přenos informací pro odeslání formuláře rozděluji do tří částí. První část přenášené informace (číslo článku, na který někdo reaguje) uchovávám v proměnné $_SESSION. Další část přenáším přes POST a poslední část přes GET. Tím dokonale zmatu i nejbystřejšího robota, neboť ten by musel nejprve kliknout na příslušnou diskuzi, aby získal do $_SESSION id článku. A pak by musel ještě pochopit, že něco jde přes GET a něco přes POST.

2. K tomu přidávám nutnost potvrdit náhled před uložením.

Tento způsob uživatele neobtěžuje, vlastně o ní ani neví. Za 9 roků provozu a několika stovkách nových příspěvků denně jsem nikdy nezaznamenal ani jediný spam.

Jo, pokud chcete vědět, o kterých stránkách je řeč, tak je to wwww.zvedavec.org.

Dobry den, zajimalo by me jestli je pravda co tvrdite o captche.
Seznam.cz, google.com, amazon.com, yahoo.com, maji captchu dost citelnou rekl bych a urcite jsou dost velci aby na ne nekdo napsal specializovany bot.
Tak proc by ji tak velke firmy pouzivali kdyby nebyla ok?

http://kregion.cz/diskusni-forum-komentarovy-spam-filter/

...ale princip a pochopení funkčnosti i při větším rozšíření tohoto filtru bylo i nad schopnosti chápání některých čtenářů root.cz

Myslím že to bylo trošku jinak. Na Rootu ti řekli, že ten tvůj antispam je amaterismus ;-)

Chalupo, tys tu chyběl.

Opravdu chceš riskovat, že si někdo znovu přečte http://www.root.cz/clanky/konecne-reseni-v-boji-proti-spamu-v-diskusnich-forech/nazory/vse/ a uřehtá se k smrti?

Kdo přežije, může zkusit praktický příklad http://kregion.cz/diskusni-forum-komentarovy-spam-filter/spamfilter_example_cz.php

To už nepřežije nikdo.

To není dobré řešení. Obávám se, že takový spam filter není použitelný a přístupný.

To není spam filtr, ale IQ test :).

Nejedná se o antispam ale jen o žert :) Zoufalství autora z aktivit spamerů muselo být hodně hluboké :) Antispam by neměl být zaměřený proti normálním uživatelům. To je asi jediný leč zásadní problém tohoto žertovného antispamu.

Jelikoz spamu je zpravidla rozesilan pomoci zavirovanych produktu M$ bezicich na strojich BFU, kazdy usvedceny spammer by mel dostat soudni narizeni pracovat jako operator Microsoft Hotline, pote by uz mozna dostal rozum a zacal uzivat kvalitni OS, ktery SPAM ani pod rukama BFU nerozesila.

VIdim, ze mate ICQ zhasnute zarovky.

Na YouTube jsem si všiml, že je formulář pro přidávání komentářů vkládán za pomocí javascriptu... takže není přímo v kódu, tím pádem o něm roboti neví. Je jasné, že lidé bez zaplého JS komentář prostě nepošlou, ale "taková je doba" (kdo má úmyslně vyplý javascript, tak musí počítat s určitými omezeními) a na některých serverech by to moc vadit nemuselo.

Ja treba miluju lidi, kteri si halasne stehuji, ze jim nejede nejaky shop (resp. kosik), a pritom maji vypnute cookies, ktere jsou pro tuto nezbytne.

Není náhodou chybou e-shopu, že na začátku "sejánce" neprovede kontrolu zapnutosti cookies (stylem "zapíšu a vzápětí zkusím přečíst") a v případě selhání oznámí "Vážený zákazníku, váš prohlížeč nemá povolen zápis cookies, který je pro fungování e-shopu nezbytný. Chcete-li si zápis cookies povolit sám, postupujte dle návodu na stránce [aaa]; případně požádejte svého správce IT o povolení zápisu cookies."

?

Pochop - pro nás "ajťáky" jsou cookies a podobné věci denní chléb, ale tak jako běžný smrtelník podle trošku hlučnějšího zvuku motoru hned nepozná, v čem konkrétně je problém u auta, tak běžný smrtelník nepozná, že e-shop nefunguje kvůli vypnutým cookies.

Jako kdyby bylo tak hrozne tezke napsat shop tak, aby cookies (a specielne permanentni cookies) nevyzadoval a neprichazel kvuli nim ani o tyto zakazniky.

Udělám si reklamu...ale pokud chcete někdo budovat ochranu proti spamu, měl by se na to dívat i z druhé strany

http://www.isecure.cz/2007/04/18/jak-se-lusti-captcha/

diky za screenshot z meho webu - napsani vysledku logicke otazky nebo jednoduche matematicke rovnice s ulozenim do cookies jsem na blog nasadil jiz pred nekolika lety a neprojde tim temer zadny spam - maximalne tak kdyz se nejaky cesky sikula za proxy serverem vydava za spambota a na otazku samozrejme odpovi...

http://blog.czhannes.com

proč ty radši dál nefotobloguješ ty vaše kočky, co? Chvíli jsem si opravdu myslel, že bych se mohl něco novýho dozvědět, místo toho jsem byl ale mile překvapen jedním Proboštovským vtípkem o umělé inteligenci a jednou homornou anketou o zavírání spammerů. Jak se má Nácíček??

Prosím o radu, moje emaily z outlooku se mi začali odesílat jako spam, nevím co s tím dělat a jak to odstranit :-( Počítač zavirovaný nemám. Děkuji za odpovědi.