Spam v diskuzních fórech: marný boj?

18. 4. 2007
Doba čtení: 6 minut

Sdílet

Autor: 29
Máte diskuzní fórum, které neodolává nájezdům spamerů, a už vás nebaví všechnu tu viagru odstraňovat manuálně? Způsobů zabezpečení je mnoho, ale ne všechny jsou dnes účinné. Jak si vede CAPTCHA a co by ji mohlo nahradit? Má smysl blokovat IP adresy? Existuje vůbec účinná ochrana?

Spam je dnes bezpochyby jedním z největších problémů moderních komunikačních možností. Podle některých statistik tvoří více než 90 procent veškeré e-mailové korespondence. Spam se však s postupem let rozšířil do obsahu blogů a také na diskuzní fóra. Díky projektům, jako jsou phpBB, miniBB nebo punBB a jim podobné, není založení a správa diskuzního fóra už vůbec nic složitého. Většinou vše funguje hladce, ale jen do chvíle, než si spamovací roboti vašeho nového fóra všimnou. Pak začíná jít do tuhého, a pokud nezmobilizujete své síly, brzy se všechny regulérní příspěvky ztratí v záplavě spamů propagujících vše od viagry přes online hazard až po podezřele levný Photoshop.

Spam v diskuzních fórech 1

V zásadě se lze setkat se třemi typy spamování diskuzních fór. Nejmírnějším je založení uživatelského účtu, kde je na stránce s profilem uživatele nějaký ten odkaz typu buy viagra a podobně. I když i to je nepříjemné, na samotný běh fóra a jeho pravidelné uživatele nemá až takový zhoubný dopad jako podstatně agresivnější a zcela nepokryté tapetování fóra spamem.

Spam v diskuzních fórech 2

Třetí způsob je podstatně promyšlenější a mnohem hůř se proti němu brání. Spam se totiž vydává za regulérní příspěvek do diskuze, ovšem kýžený odkaz na propagované stránky v něm samozřejmě nechybí. V České republice se však zatím s tímto způsobem příliš nesetkáváme.

Vrcholem jsou snad jen příspěvky typu „hezký web, podívejte se na můj” svého času propagující v různých fórech a návštěvních knihách jistý nejmenovaný okrajový webzine dosti kontroverzního provozovatele.

S prakem proti dělostřelectvu

Aplikace diskuzních fór, jako je například phpBB, mají nějaké nástroje pro boj se spamem už vestavěné, ale ty už dnes nepředstavují pro spamery výraznější překážku. Základem bezpečnosti provozu každé aplikace je samozřejmě používání nejnovější verze se všemi záplatami, a to se týká i diskuzních fór. To už je v praxi ale spíš jen poučka než nějaký všelék na spam. Stejně tak není spásný skrytý formulářový prvek, jak se často tvrdí. Sofistikovaní roboti si s touto nástrahou poradí.

Občas se preventivně doporučuje odstranit z diskuzního fóra a jeho zdrojového kódu všechny zmínky o aplikaci, kterou používáte. Takové mimikry před spamboty hledajícími nové cíle nemusí ovšem vždy být v souladu s licencí použitého řešení, nebo minimálně může nastat etický problém. Ono to ale stejně nemá větší smysl, protože spamboti si vaše fórum dříve nebo později najdou.

Asi nejprimitivnější ochranou před spamem je pozměnit ve zdrojovém kódu jména prvků formulářů pro registraci nebo zaslání nového příspěvku. Robotům se tím znesnadní přístup a pokud máte problém se dvěma spamy za měsíc, je tento primitivní způsob celkem efektivní. Jak vás ale začnou obtěžovat sofistikovanější roboti, tohle pro ně není žádná překážka.

Kontroverzní CAPTCHA spásná není

Svého času se hodně čekalo od kontroverzní technologie CAPTCHA. Od její implementace např. do phpBB si mnozí hodně slibovali. CAPTCHA bohužel mnoho nevyřešila. Moderní spamboti s OCR skenery projdou i procesem, kde už má člověk co dělat.

Objevují se pokusy zapojit logický prvek, a to tak, že pro povolení odeslání příspěvku nebo registrace je nutné z deformovaného obrázku opsat jen některé znaky. Tím sice můžete odradit spamboty, ale není to šetrné ani k regulérním uživatelům.

Slibněji vypadá technologie Asirra z dílny Microsoftu. V té sice také ústřední roli hrají obrázky, ale bez zdeformovaných znaků. Zobrazují se různé předměty a cílem je správně odpovědět, co se na obrázku nachází. Pes? Kočka? Váza? Tím současní spamboti procházet tak snadnou nemohou. Pokud se budou volit jednoznačné obrázky, může být tento způsob ochrany nejen účinný, ale i celkem šetrný k uživatelům. Tedy do doby, než roboti k OCR skenerům přidají umělou inteligenci, že.

Logika a matematika mohou zabrat

Asirra je jen dalším krokem v nasazování různých logických otázek a matematických úloh. Bohužel dnes už matematika spásná určitě není. Úlohy zapsané číslovkou nebo anglicky roboti úspěšně řeší. Zabírá zatím čeština, ale na vždy asi také ne.

Spam v diskuzních fórech 5

Různé hádanky a otázky jako ochranný prvek dnes už také nejsou výjimkou. Jakou barvu má tráva? Kolik má den hodin? Kam ukazuje střelka kompasu? Fantazii se meze nekladou, ale neprůstřelný tento způsob zabezpečení fóra před spamem také není. Otázky musí být jednoduché a jasné (až primitivní), a proto se zejména na anglofonních fórech často opakují, čehož si samozřejmě všimli autoři spambotů a upravili je tak, aby ochranou mohli projít. Čeština tuzemská fóra zatím chrání, ale když se češtině naučili rhybáři, tak možná časem i spameři, komentuje pro Lupu programátor Jan Friedel, který se problematikou spamu dlouhodobě zabývá.

Uzavírání fóra nepomáhá

Na první pohled může vypadat slibně uzavření fóra neregistrovaným uživatelům a vyžadování potvrzení registrace před jejím dokončením přes e-mail. S touto ochranou si roboti např. u phpBB ale dokáží poradit a uživatelský účet si aktivují. Zbytečně tak odrazujete uživatele, kteří o registraci ve vašem fóru nestojí.

Spam v diskuzních fórech 6

Většina fór jako je phpBB nabízí jisté funkce pro zamezení vstupu obtěžujícím uživatelům a ty se administrátorům nabízejí jako první volba při obraně před spamery, nicméně dnes už zdaleka nedostačují všem a vždy. Můžete blokovat IP adresy, ale při počtu zombie počítačů, tedy potenciálních útočníků, byste se ublokovali. Navíc pozor na dynamicky přidělované IP adresy, varuje Jan Friedel.

Blokujeme a filtrujeme. Půjde to?

Jelikož se v souvislosti se spamy často objevují adresy v rámci mezinárodní domény .info nebo ruské národní .ru, může být ochranou nebo alespoň pomůckou pro omezením počtu spamu automatické blokování příspěvků či registrací, kde tyto domény figurují. Když si to vzhledem ke struktuře uživatelů fóra můžete dovolit (v Rusku by to pochopitelně nešlo), tak ano, ale na dlouho také asi ne. Geografických domén jsou desítky, takže spameři klidně mohou sáhnout po dalších. Navíc tu máte mezinárodní generické domény .com a .net, které jednoduše blokovat nemůžete už jen kvůli Gmailu a podobně, komentuje Jan Friedel. Dodejme, že už známe případy, kdy pro spamování byly využívány české služby s koncovkou .cz.

Spam v diskuzních fórech 3

Další možností alespoň částečné obrany může být filtrování příspěvků se závadnými slovy (viagra, casino, porn apod.) nebo s nadměrným počtem odkazů. Takové příspěvky pak můžete nechat automaticky mazat nebo jejich publikování podmínit ručním schválením.Jan Friedel říká: „Na malých fórech to může celkem fungovat, ale na větších fórech, kde počet příspěvků za den jde do stovek a tisíců, byste potřebovali placenou sílu na moderování, protože ne každý má uživatele tak lačné podepisovat se coby moderátor jako teenagerovská fóra Computer Pressu. “

Existuje spásná ochrana?

Fórum lze zabezpečit kombinací popsaných způsobů, ale dříve či později zjistíte, že více problémů působíte sobě a svým uživatelům než otravným spamerům. Osobně mám dobrou zkušenost s ochranami na straně klienta, na které dnes spamboti nemají. Máte pravdu, tudy by mohla vést cesta. Je ovšem nutné JavaScript optimalizovat, aby byl stoprocentně funkční pod všemi zásadními prohlížeči a dobře si zvážit, jestli nemají vaše stránky větší počet uživatelů s vypnutým klientským skriptováním. Zároveň je také vhodné kód nedávat moc na oči, aby se vyhnul analýze a aby nepobláznil antiphishingové filtry, říká Jan Friedel.

K otázce blokování JavaScriptu: podle březnové statistiky serveru Navrcholu.cz surfuje s vypnutým JavaScriptem jen 1,19 procenta uživatelů. Drtivá většina uživatelů by tedy klientské ochrany psané v JavaScriptu neměla vůbec pocítit.

A jaké zkušenosti máte vy?

Jelikož legislativa nás před spamery zřejmě nikdy stoprocentně neochrání, bude nutné vyvíjet nové a nové ochrany a hledat účinné způsoby. Vaše zkušenosti s bojem proti spamu ve fórech uvítáme v diskuzi.

Jaký trest byste dali člověku, který prokazatelně stojí za spamováním diskuzního fóra?

Autor článku

Autor je nezávislý novinář a publicista věnující se informatice, elektronice a telekomunikacím. V těchto oborech i podniká. Se serverem Lupa.cz spolupracuje již řadu let jako externí redaktor.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).