Sivu 2/3
Lähetetty: 10 Elo 2006, 11:38
Kirjoittaja Lurttinen
Lähetetty: 10 Elo 2006, 12:54
Kirjoittaja EveS
Tämä spammiviestien läpipääsy tuli vain niin äkkiä. Tässä on ollut monta kuukautta ei spammin spammia, ja nyt 1,5 vuorokautta, kun niitä äkkiä on alkanut taas tulla ja vain yhdelle (vilkkaimmalle) foorumin palstalle. Niin kuin jokin tekninen läpimurto olisi tässä visuaalisen varmennuksen lukemistekniikassa äkkiä tapahtunut.
Lähetetty: 10 Elo 2006, 13:45
Kirjoittaja Lurttinen
Ilmeisesti spämmerit on vasta nyt löytäneet sun uuden tekniikkansa kanssa, koska toi varmennus on pystytty lukemaan jo ainakin kevättalvesta lähtien.
Tuolla on jopa eräs sivusto, joka tarjoaa "palveluansa" phpBB foorumille tutkimalla kuinka hyvin se on suojattu spämmiä vastaan.
Todellisuudessa se odottaa, että kävijä itse lähettää fooruminsa tutkittavaksi.
Rekisteröityy sinne, arvioi käyttäjien määrää, yrittää kirjoittaa testiviestin vieraana ja kirjautuneena, jne...
Ja lopulta lisää sun foorumis listaan mistä se voidaan poimia automaattiseen postitukseen.
Tällaisia automaattisia postittajia
löytyy netistä jo ihan kivasti.
Foorumin koodin personoiminen tai tuollainen sanafiltteri voi olla tehokas.
Mutta eiköhän ne uudetkin varmennukset pystytä lukemaan aikanaan, kunhan tietokoneiden laskutehot kasvaa ja pystyvät paremmin vertailemaan monimutkaisiakin varmennuksia.
Viimekädessä tuon varmennuksen on oltava niin helppo, että tavallinen ihminen pystyy sen lukemaan.
Lähetetty: 14 Elo 2006, 19:32
Kirjoittaja EveS
Asensin kaksi antispam-MODIa visuaalisen vahvistuksen lisäksi.
Nyt vieraana kirjoittava joutuu tekemään visuaalisen vahvistuksen kuin myös valitsemaan ponnahdusvalikosta Kyllä-vaihtoehdon vastauksena kysymykseen Lähetätkö viestin? Sen lisäksi vieraana ei voi lähettää linkkilistoja.
Nämä toimenpiteet ovat rauhoittaneet foorumia aika lailla, joten olen tyytyväisehkö
Jos ponnahdusvalikko ei jonkin ajan kuluttua enää toimi, niin siitä on toisenlainen versio, jossa tietty koodi pitää naputtaa laatikkoon.
Ponnahdusvalikko voisi toimia vielä tiiviimmin, jos siinä olisi useampia vaihtoehtoja (ein ja kyllän lisäksi), kuten esim.:
Ehkä
Täh
Mitäh
Höö
Jos ponnahdusvalikossa olisi esim. 6 vaihtoehtoa, ja Kyllä olisi 5. tai 6., niin ulkomaalaisen (jos spammeri on ihminen) voisi olla vaikea arvata, mikä niistä olisi se oikea. Mutta itse en kyllä osaa tehdä tuollaista lisäystä.
Nyt olen joka tapauksessa odottavalla kannalla ja seuraan tilannetta.
Alla kuva ponnahdusvalikosta.
Lähetetty: 15 Elo 2006, 11:22
Kirjoittaja Anubis
Merri kirjoitti:Yksi helppo tapa yrittää estää spammaajia rekisteröitymästä on estää rekisteröityminen, jos kotisivukenttä on täytetty. Spammibotit eivät useinkaan lue sivuja, vaan ne vaan lähettävät tarvitut tiedot suoraan palvelimelle. Käytännössä tämän eston tekeminen on todella helppoa, tarvitsee vain kahta tiedostoa muuttaa (ainakin muistaakseni).
Harvemmin ne suomea edes osaakaan.
Merri kirjoitti:Sen jälkeen templaattitiedostosta templates/subSilver/profile_add_body.tpl,
etsi:
Koodi: Valitse kaikki
<tr>
<td class="row1"><span class="gen">{L_WEBSITE}:</span></td>
<td class="row2">
<input type="text" class="post"style="width: 200px" name="website" size="25" maxlength="255" value="{WEBSITE}" />
</td>
</tr>
Koodi: Valitse kaikki
<!-- BEGIN switch_user_logged_in -->
<tr>
<td class="row1"><span class="gen">{L_WEBSITE}:</span></td>
<td class="row2">
<input type="text" class="post"style="width: 200px" name="website" size="25" maxlength="255" value="{WEBSITE}" />
</td>
</tr>
<!-- END switch_user_logged_in -->
Miten nuo kaksi eroaa toisistaan, paitsi nuo remmit?
Merri kirjoitti:Luonnollisesti jotta tästä olisi oikeasti hyötyä, pitää käyttäjän itse tai ylläpitäjän aktivoida tunnus. Muuten spammibotti voi kirjautua sisään ja täyttää kentän automaattisesti jälkikäteen.
No usein ne spämmibotit laittaa toimimattomat emailit, joten harvemmin ne kirjautuu.
Lähetetty: 15 Elo 2006, 11:37
Kirjoittaja Lurttinen
Anubis kirjoitti:
Miten nuo kaksi eroaa toisistaan, paitsi nuo remmit?
---
No usein ne spämmibotit laittaa toimimattomat emailit, joten harvemmin ne kirjautuu.
Ei mitenkään. Se näkyy vain niille, jotka ovat kirjautuneet sisään.
Merri taitaa jutella siitä instaBAN MODista, joka on todella kätevä.
Mulla se on blokannut parissa päivässä neljä IP osoitetta, joista yksi on mennyt tietylle alueelle * merkillä.
---
kirjautuvat nykyään aika usein kun oppivat lukemaan sen vahvistuskoodin.
Vakio phpBB:hän ei tällähetkellä pysty estämään spämmiä millään tavalla.
Jos ei muuten saa roskaa näkyville. Löytyy käyttäjälistasta ainakin linkki pornosivuille hakukoneita varten.
Lähetetty: 15 Elo 2006, 12:56
Kirjoittaja Merri
Anubis kirjoitti:Merri kirjoitti:Yksi helppo tapa yrittää estää spammaajia rekisteröitymästä on estää rekisteröityminen, jos kotisivukenttä on täytetty. Spammibotit eivät useinkaan lue sivuja, vaan ne vaan lähettävät tarvitut tiedot suoraan palvelimelle. Käytännössä tämän eston tekeminen on todella helppoa, tarvitsee vain kahta tiedostoa muuttaa (ainakin muistaakseni).
Harvemmin ne suomea edes osaakaan.
Ei tarvitse osata suomea tai lukea tekstiä: HTML-koodin input-kentät ovat ne, joilla on merkitystä. Botit aika pitkälle viis veisaavat muusta; ja monet botithan eivät edes lue rekisteröitymissivua, mikä on se asia, jota voi käyttää hyväksi estojen teossa.
Anubis kirjoitti:Miten nuo kaksi eroaa toisistaan, paitsi nuo remmit?
Kuten jo todettua, ei mitenkään. Tarkoitus on vain estää rekisteröimätöntä käyttäjää näkemästä kyseistä kohtaa, jolloin sen arvon voi olettaa jäävän aina oikealla rekisteröityjällä tyhjäksi. Sitten tietää että botti on kyseessä, jos kenttä tulee siitä huolimatta täytettynä rekisteröitymisskriptiin. Eli botti ei välttämättä lue rekisteröitymissivulta löytyviä input-kenttiä yrittäessään rekisteröityä.
Lähetetty: 20 Elo 2006, 16:29
Kirjoittaja Anubis
Merri kirjoitti:Yksi helppo tapa yrittää estää spammaajia rekisteröitymästä on estää rekisteröityminen, jos kotisivukenttä on täytetty. Spammibotit eivät useinkaan lue sivuja, vaan ne vaan lähettävät tarvitut tiedot suoraan palvelimelle. Käytännössä tämän eston tekeminen on todella helppoa, tarvitsee vain kahta tiedostoa muuttaa (ainakin muistaakseni).
Tiedostosta includes/usercp_register.php,
etsi:
Koodi: Valitse kaikki
else if ( $mode == 'register' )
{
if ( empty($username) || empty($new_password) || empty($password_confirm) || empty($email) )
{
Koodi: Valitse kaikki
else if ( $mode == 'register' )
{
if ( empty($username) || empty($new_password) || empty($password_confirm) || empty($email) || !empty($website) )
{
Sen jälkeen templaattitiedostosta templates/subSilver/profile_add_body.tpl,
etsi:
Koodi: Valitse kaikki
<tr>
<td class="row1"><span class="gen">{L_WEBSITE}:</span></td>
<td class="row2">
<input type="text" class="post"style="width: 200px" name="website" size="25" maxlength="255" value="{WEBSITE}" />
</td>
</tr>
Koodi: Valitse kaikki
<!-- BEGIN switch_user_logged_in -->
<tr>
<td class="row1"><span class="gen">{L_WEBSITE}:</span></td>
<td class="row2">
<input type="text" class="post"style="width: 200px" name="website" size="25" maxlength="255" value="{WEBSITE}" />
</td>
</tr>
<!-- END switch_user_logged_in -->
Luonnollisesti jotta tästä olisi oikeasti hyötyä, pitää käyttäjän itse tai ylläpitäjän aktivoida tunnus. Muuten spammibotti voi kirjautua sisään ja täyttää kentän automaattisesti jälkikäteen.
Tätä samaa aihetta vähän sivutakseni: miten saa siten, että kaikilla rekisteröityjillä on aina piilotettu sähköpostiosoite, jonka sitten voi laittaa näkyväksi omasta profiilistaan?
Lähetetty: 27 Elo 2006, 00:57
Kirjoittaja Frozenball
Lurttinen kirjoitti:Ilmeisesti spämmerit on vasta nyt löytäneet sun uuden tekniikkansa kanssa, koska toi varmennus on pystytty lukemaan jo ainakin kevättalvesta lähtien.
Tuolla on jopa eräs sivusto, joka tarjoaa "palveluansa" phpBB foorumille tutkimalla kuinka hyvin se on suojattu spämmiä vastaan.
Todellisuudessa se odottaa, että kävijä itse lähettää fooruminsa tutkittavaksi.
Rekisteröityy sinne, arvioi käyttäjien määrää, yrittää kirjoittaa testiviestin vieraana ja kirjautuneena, jne...
Ja lopulta lisää sun foorumis listaan mistä se voidaan poimia automaattiseen postitukseen.
Tällaisia automaattisia postittajia
löytyy netistä jo ihan kivasti.
Foorumin koodin personoiminen tai tuollainen sanafiltteri voi olla tehokas.
Mutta eiköhän ne uudetkin varmennukset pystytä lukemaan aikanaan, kunhan tietokoneiden laskutehot kasvaa ja pystyvät paremmin vertailemaan monimutkaisiakin varmennuksia.
Viimekädessä tuon varmennuksen on oltava niin helppo, että tavallinen ihminen pystyy sen lukemaan.
Ei se laskutehoista kiinni ole. Spammereiden taito on vain kasvanut ja ne ovat oppineet uusia temppuja.
Eräs paha juttu on, että spammeri voi vaikka perustaa jonkun sivun, jossa on captcha. Se captcha haetaan sivulta, minne lähetetään viesti. Sitten käyttäjä kirjoittaa sen captchan tekstin ja käyttäjän välittämällä koodilla kirjoitetaan se viesti.
Selitin ehkä hieman epäselvästi.
Lähetetty: 27 Elo 2006, 13:23
Kirjoittaja Anubis
Todella epäselvästi.
Lähetetty: 31 Elo 2006, 12:09
Kirjoittaja Merri
Koetahan olla vähemmän hyökkäävä toisia kävijöitä kohtaan; ei toisten vikoja tai mokia kannata nostaa esiin foorumilla, jossa pääasia on auttaa toisia
Lähetetty: 31 Elo 2006, 17:57
Kirjoittaja Potku
Tjoo. Olen aina sanonut, että ihmiset, jotka eivät käytä hymiöitä, ansaitsevat mitä saavat.
Eli jos tuo oli edes puoliksi vitsi, sen olisi voinut ilmaista selvästi eikä jättää arvausten varaan.
Siitä toisesta puolesta - jos sellaista oli - tietenkin sen verran, että tuo captcha ei varmaankaan auennut ihan kaikille (esim. minulle).
Lähetetty: 31 Elo 2006, 18:18
Kirjoittaja Lurttinen
Captcha on se visuaalisen varmennuksen kuva, joka on phpBB2 versiossa käytössä.
Ehkä epäselvästi, mutta tekniikka on tuttu. Tosin tuokin tekniikka, että haetaa captcha käyttäjän kirjoitettavaksi on jo vanhentunut.
Nykyään nuo lukee sen kuvan itse. tarvittaessa myös käyvät lukemassa sähköpostinsa, jos vaatii aktivoinnin.
Tuolla laskuteholla viittasin lähinnä tekoälyn kehittymiseen noissa(kin) ohjelmissa, sillä vaikka Olympuksessakin on mahdollisuus mukauttaa tota captchaa.
Se todennäköisesti pystytään lukemaan tulevaisuudessa ja joudutaan taas kehittämään uusia keinoja saada automaattinen roskapostitus suodatettua pois.
Mikään ei kuitenkaan estä tavallista ihmistä mainostamasta palveluaan foorumilla, vaikka kuinka vaadittais esittelyjä ja muuta.
Tuon vahvistuskoodin on kuitenkin oltava niin helppo, että ihmiset sen pystyvät tunnistamaan ja suorittamaan.
Lähetetty: 31 Elo 2006, 20:57
Kirjoittaja Potku
Jossakin toisessa ketjussa joku ehdotti, että luo kysymyksen, johon pitää vastata kirjoittamalla siihen oikea vastaus. Muistan vielä, että esimerkkikysymys oli "Alussa oli suo, kuokka ja...", eli vastaukseksi kävisi vain jokin versio Jussista (Jussi, jUSSI, JUSSI, JuSsi jne.). Miten tuollaisen saisi luotua?
Niin, tuo Humanizer MOD, joka meillä on, ei enää pidä botteja pois. Tosin yksinään ei ole osannut aktivoida omaa tunnustaan, joten ne eivät näy missään (no, käyttäjien lukumäärä lisääntyy etusivulla, mutta missään muualla ei näy mitään - paitsi tietenkin ACP:ssä), joten ne on helppo poistella yhden toisen MODin kautta (MOD näyttää vahvistamattomat tunnukset).
Lähetetty: 31 Elo 2006, 21:24
Kirjoittaja Anubis
Minusta nuo visuaaliset vahvistukset on vähän hankalia luettavia, aina menee muutama kerta ennenkuin saan kirjaimet oikein.
Jos ponnahdusvalikko ei jonkin ajan kuluttua enää toimi, niin siitä on toisenlainen versio, jossa tietty koodi pitää naputtaa laatikkoon.