---|Ветка была без названия|---

← →
Knight (2003-12-12 19:13) [80]

Да, введите вы обязательную регистрацию и всё. Это самое дешёвое и действенное из всех средств защиты. Для нормальных мастаков, это препятствием не будет. Раньше, для привлечения количества, это был хороший ход, а теперь пора переходить в качество. Против спама добавить в форму регистрации картинку с числом, а всё остальное практически не измениться. При получении поста от незарегистрированного пользователя, не добавлять его, как сейчас, а выводить просьбу о регистрации. ИМХО... против будут только те против кого это будет направленно. Можно, если "нервные" не уймутся, ввести проверку мэила и сделать правило "один ящик-одни ник".

Предлагаю вынести вопрос о регистрации на голосование (только не в форуме, а в то что в рассылке и в списке тем) и посмотрим, что скажут сами мастаки, можно провести также ещё одно голосование только среди зарегистрированных пользователей, примерная тема "Мешает ли вам регистрация?"

← →
Knight (2003-12-12 20:57) [81]

Кстати, регистрация, даст возможность точно отслеживать количество созданных тем, посланных постов и т.п. в единицу времени и если "вредители" не уймутся, то ограничить их разумными значениями.

← →
Fantasist (2003-12-12 23:52) [82]

> Второй закон Ньютона помнишь?

a=F/m. А о противодействии сил - это третий. Первый о инерциальных системах отсчета.

← →
SkyRanger (2003-12-13 03:31) [83]

почитал я все это... Мдааа... Единственное что могу вынести нам ненавязчиво намекают, мол,
- Мальчик ты кто вааще??? Иди дяди сами без тебя разберуться... (просьба не обижаться)
Чтож... Будем ждать что принесет нам будущее...
А тему можно и прикрывать, а то начинаются наезды на админов и переход на личности не за горами...
А вообще читайте ПРАВИЛА форума:
В Форуме не принято обсуждение настоящих правил и политики модеpиpования. Для этого существует адрес adm@delphimaster.ru

← →
SPeller (2003-12-13 11:06) [84]

> Простите, для Украины предусмотрена квота? Если да -готов
> сделать оптовую закупку сертификатов, вагона два, три, максимум
> четыре.

Я имел ввиду электронные сертификаты. Как на вебмани различают кто пришёл. Так же и тут. Есть посетитель, которого администрация считает надёжным - дать ему сертификат и никакой анти-спам проверки для него проводиться не будет. Нет сертификата - проверять и ограничивать. Естественно, не каждому персонально раздавать из рук Максима или модераторов, а автоматизировать процесс. Например, время существования ника больше недели. Нажимаем кнопочку где-то, и нам на е-мэйл приходит сертификат. Хотя, глюк это.
Могу предложить другой вариант: вводить ограничения только для незарегистрированных ников, время появления которых меньше дня или недели. Если ник живёт дольше, то можно не проверять.

← →
Knight (2003-12-13 12:22) [85]

>> SkyRanger © (13.12.03 03:31) [83]
К модераторам притензий нет... просто жаль людей, которым приходится восстанавливать форум после посещенй всяких отморозков...

← →
Nick Denry (2003-12-13 12:39) [86]

Я тут конечно давно не был, не знаючто за аттаки и т.д., но првила от автора ИМХО жестковато....

← →
mfender (2003-12-13 12:55) [87]

> SergP © (09.12.03 08:27) [48]
> Так если сделать ограничение на количество сообщений с одного
> IP для незарегистрированных, то по идее все должно быть
> нормально. Но ИМХО администрацию сайта все эти Ваши (т.е.
> наши) предложения не интересуют, им приятнее чистить и восстанавливать
> форум после каждой атаки...

Думаю тут лучше сделать условие, что если с одного IP больше одного поста в полминуты, значит - что-то не нормально и нужно ограничить.

> reticon © (09.12.03 14:00) [51]
Ты имеешь ввиду 193.232.246.88 ???

Я имею ввиду ЮТК.

← →
mfender (2003-12-13 13:03) [88]

> Anatoly Podgoretsky © (09.12.03 15:25) [52]
> Это проблема Краснодарского края, пусть они сами борятся
> с хакерами, и не позволяют использовать свой прокси для
> атак.

Позвольте с Вами не согласиться. Это проблема не моя. И не я виноват в том, что телефонная компания экономит деньги, установив огромных размеров прокс.

> Knight © (11.12.03 20:27) [53]
> Люди, а почему вы не хотите ввести одноразовый тикет на
> форму? Конечно не панацея, но, по крайней мере, односторонние
> посты обрежет. Чтоб сделать автофлудер, придется грузить,
> как минимум, до формы и искать там этот тикет, который служит
> пропуском на добавление поста, т.е. флудер, должен будет
> обязательно получить ответ сервера, значит его реальный
> адрес обязательно где-то засветится. Если код не верен,
> то рефрешить страницу и вставлять посланный текст в поля
> формы.

Здравая мысль.
Главное убедиться, что форма в бровзере загрузилась.

← →
mfender (2003-12-13 13:14) [89]

> Knight © (12.12.03 19:13) [80]
> Да, введите вы обязательную регистрацию и всё. Это самое
> дешёвое и действенное из всех средств защиты. Для нормальных
> мастаков, это препятствием не будет. Раньше, для привлечения
> количества, это был хороший ход, а теперь пора переходить
> в качество. Против спама добавить в форму регистрации картинку
> с числом, а всё остальное практически не измениться. При
> получении поста от незарегистрированного пользователя, не
> добавлять его, как сейчас, а выводить просьбу о регистрации.
> ИМХО... против будут только те против кого это будет направленно.
> Можно, если "нервные" не уймутся, ввести проверку мэила
> и сделать правило "один ящик-одни ник".
>
> Предлагаю вынести вопрос о регистрации на голосование (только
> не в форуме, а в то что в рассылке и в списке тем) и посмотрим,
> что скажут сами мастаки, можно провести также ещё одно голосование
> только среди зарегистрированных пользователей, примерная
> тема "Мешает ли вам регистрация?"

Позвольте и с Вами не согласиться. Обязательная регистрация не может повлиять ни на что. Разве только сделать приватный форум для узкого круга лиц, знакомых друг с другом. Тогда теряется всякий смысл данного форума. Ибо, взять к примеру тему "Основная", там народ обращается к Мастерам, желая, догадываюсь, получить квалифицированный ответ на свой вопрос.
Приватный же форум такого не даст. В очередной раз приведу в пример сгинувший форум РБН.

← →
Knight (2003-12-13 20:58) [90]

>> mfender © (13.12.03 13:14)
> Главное убедиться, что форма в бровзере загрузилась.
Да хоть в клиенте, только он должен перед тем как постить, получить на это разрешение в виде тикета, который должен будет добавить в свой пост, а чтобы получить он должен сначала засветить где-либо свой реальный ИП так-что при желании путь пакета можно будет отследить.

> Обязательная регистрация не может повлиять ни на что. Разве
> только сделать приватный форум для узкого круга лиц.
Причём тут приватный форум? Я говорю о том, что, чтобы прежде чем постить, человек должен зарегистрировать свой ник, пройдя один раз антиспамовый контроль в виде нескольких чисел на зашумлённом изображении. Сейчас, если блокируется ИП, то флудер может его сменить, если блокируется ник, то тут же может сгенерироваться новый, а с регистрацией этого уже не будет. Тогда можно будет говорить о контроле количества чего-либо и т.п. пока нет постоянного ника эти методы бесполезны, т.к., как было описано выше, ИП блокировать бесполезно.

>> Админам
Господа, вы наверняка можете поделиться соотношением зарегистрированных пользователей к незарегистрированным, у меня такое ощущение, что вторых не так и много :)

← →
Knight (2003-12-14 13:50) [91]

← →
Рики-Тики (2003-12-14 14:20) [92]

Rouse_ © (12.12.03 14:51) [78]

а откуда ты узнал под каким именем я запостил сообщение? McSimm не говорил этого. Rouse, ты тоже, получается, администратор? :)
А что же от значка мастера отказываешься...

А мой пост не прошел не по кое-каким причинам, а по одной - вы успели заблокировать прокси, с которого я сюда шел. Какие вы блин шустрые :) У вас небось огромнейший список прокси есть :) Поделитесь. А то я не могу светить свой реальный IP адрес.

← →
Knight (2003-12-14 16:57) [93]

Всё-таки хотелось бы услышать мнение админов по-поводу регистрации и соотношения зарегистрированных пользователей к незарегистрированным... По мылу это посылал, но ответа не получил, так может тут ответите? :)

← →
panov (2003-12-14 19:07) [94]

>Рики-Тики (14.12.03 14:20) [92]
А то я не могу светить свой реальный IP адрес.

Это твои проблемы.

← →
имя (2003-12-14 19:51) [95]

Удалено модератором

← →
имя (2003-12-14 19:54) [96]

Удалено модератором

← →
McSimm (2003-12-15 10:38) [97]

>Всё-таки хотелось бы услышать мнение админов по-поводу регистрации и соотношения зарегистрированных пользователей к незарегистрированным... По мылу это посылал, но ответа не получил, так может тут ответите? :)

> мнение админов по-поводу регистрации
Регистрация обязательной не будет.

>соотношения зарегистрированных пользователей к незарегистрированным
Такой статистики нет, да и зачем она? О чем может поведать это число - непонятно.

>Knight ©
Александр, мне понятно твое стремление оградить форум от неприятностей. Я, наверное повторяюсь, но что же делать. Механизмы защиты должны быть максимально прозрачны для нормальных посетителей и максимально эффективны в плане защиты.
Предложена туча способов, в большинстве своем они, при должном вникании, обладают противоположными свойствами.

Поначалу я всем отвечал, страрался объяснять почему их способ неэффективен, либо неоправданно сложен в реализации, либо бьет по интересам посетителей. Это отнимает много времени.

Вот, взять для примера предлагаемый способ с картинкой, цифры с которой надо ввести в поле ввода. Скажи честно, ты хорошо и досконально знаешь работу этого способа, механизм такой защиты?
Я думаю, что не очень.

← →
Ihor Osov'yak (2003-12-15 11:07) [98]

2 [97] McSimm © (15.12.03 10:38)

> ты хорошо и досконально знаешь работу этого способа, механизм такой защиты?

Не понимаю, что там архисложного сложного в реализации? Единственный минус - придется субмит форму генерировать индивидуально для каждого пользователя. Чтобы уменьшить нагрузку на сервер, да и свести неудобства для пользователей к минимуму, включать такой вариант защиты только в случае высокой суммарной частоты постингов (имеюю ввиду для всех форумов и для всех пользователей).. То есть при низкой частоте - все как сейчас. При достижении некоторого граничного числа - автоматически включается механизм антиспамовских картинок.
Да, естестествено, некоторое время на разработку придется потратить, но имхо, это время соизмеримо с тем временем, которое вы тратите на устранение последствий очередной флуд-атаки..

← →
Dmitriy O. (2003-12-15 11:16) [99]

> способ с картинкой, цифры

Гм а что нет проги которая бы распознавала нарисованные цифры ?

← →
McSimm (2003-12-15 11:20) [100]

>Ihor Osov"yak © (15.12.03 11:07)
Игорь, тогда этот вопрос к тебе.
Скажи честно, ты хорошо и досконально знаешь работу
этого способа, механизм такой защиты?
Или просто видел, что это где-то работает и немного имеешь представление о том как это можно сделать?

Кстати, речь вовсе не о сложности реализации.

← →
Ihor Osov'yak (2003-12-15 11:22) [101]

2 [99] Dmitriy O. © (15.12.03 11:16)

есть "проги". Но не для всяких случаев "нарисования". Причем для некоторых способов нарисования стоимость таких "прог" на порядки выше стоимости кода для рисования.

← →
McSimm (2003-12-15 11:23) [102]

> Dmitriy O. © (15.12.03 11:16) [99]
> Гм а что нет проги которая бы распознавала нарисованные
> цифры ?

Во, срочно займись этим ! :)
(Может на другое меньше времени будет)

В качестве стенда возьми, к примеру, mail.ru. Когда сделаешь, еще адресов подкину.

← →
Ihor Osov'yak (2003-12-15 11:36) [103]

2 [100] McSimm © (15.12.03 11:20)

Да нет, не только видел. Что, есть нужда в консультантах? :-)..
Был грешок в моей биографии, консультировал одних ОЦРшиков :-(.. так что могу расказать, что нужно сделать, чтобы и мои консультации не помогли.. Но думаю, Вы и сами наверное догадываетесь..

Кстати, мои бы консультации для майл.ру, в том виде, как сейчас - помогли бы.. А вот для yahoo - нет. Вернее, без 100 проц. гарантии, и уж наверника очень финансовозатратным весь путь был-бы для оцрщика ..

← →
McSimm (2003-12-15 11:50) [104]

OCR тут не при чем.
Это можно вообще не рассматривать, поскольку затраты на ее реализацию действительно велики.

← →
McSimm (2003-12-15 11:55) [105]

>Вы и сами наверное догадываетесь.
Не знаю о чем надо догадаться, но говоря конкретно о картинках mail.ru - знаю, есть один недостаток, сильно снижающий защищенность от OCR. Но речь вовсе не об этом, а о механизме работы такого рода защиты форм.

← →
Ihor Osov'yak (2003-12-15 12:03) [106]

> Это можно вообще не рассматривать, поскольку затраты на ее реализацию действительно велики

Что-то не понимаю. Это ведь же хорошо. Если мы защищаться собираемся. Или Вы предлагаете в страничке хранить слабозашифрированный ответ? Или собираетесь на сервере помнить, кому какую картинку сформировали?

Имхо, картинка в стиле яху (переменная геометрия фонтов (это для любителей матричных ОЦР, 2-3 рандомайзных искажающих фильтра - а это для любителей анализировать изгибы контуров букв), плюс шифровка эталона каким-то дезом или ерсеа, передача еталона вместе с картинкой как хайден инпут тег, чтобы не вешать на сервер задачу помнить, кому что передали .. Охоту отобьют и у большинства профессионалов, не говоря о школьниках. И это не такая уж сложная и трудоемкая в реализации задача..

← →
Ihor Osov'yak (2003-12-15 12:07) [107]

Впрочем да, я задачу анализировал со стороны ломальщика. Возможно есть ньюансы реализации со стороны защищающихся, которые я не учел. Но думаю, что это маловероятно..

← →
McSimm (2003-12-15 12:10) [108]

> Что-то не понимаю. Это ведь же хорошо.

Да, само по себе это хорошо. Просто речь идет не о методах генерации картинки

> передача еталона вместе с картинкой как хайден инпут тег,
> чтобы не вешать на сервер задачу помнить

То, о чем я и говорил. При полном отсутствии мало-мальской защиты от спамера, метод приведет к реальным проблемам для нормальных посетителей.
Нужно аргументировать?

> Охоту отобьют и у большинства профессионалов, не говоря
> о школьниках.

Ошибаетесь. Мало того, подстегнет.

← →
Ihor Osov'yak (2003-12-15 12:37) [109]

>> передача еталона вместе с картинкой как хайден инпут тег
> При полном отсутствии мало-мальской защиты от спамера

Я упоминал DES и RSA. Как средство шифровки эталоного ответа. В который зашит не только правильный ответ, а и некая, привязаная ко времени сигнатура, чтобы исключить повторное юзание "эталона" немного более продвинутым злоумышленником.
Да, кстати.. За вскрытие RSA обещана серьезная премия и мировая известность. Этого пока никто не сделал. Не думаю, что такие таланты есть и здесь.

> Ошибаетесь. Мало того, подстегнет.

Не знаю. Значит, я плохо разбираюсь в психологии. Я просто считаю.

Для примера. Снова смотрим на картинку с майл.ру. Я бы на нее вгробил несколько дней. Скажем так, 2-6.. Из спортивного интереса делать это не стану. На заказ - тоже маловероятно. То, что я консультировал - то были сайты слегка порнографического направления, и я не сильно чувствовал угрызений совести за эти консультации, хотя немного элемент присутствовал.. А для нормально сайта - нет, сорри.. Но снова о майл ру - то, что профессионал средней руки делает за несколько дней - для озабоченного юнца в большинстве случаев нерешаемая задача.. Да и сделать ведь можно немного более с умом картинку, чем на майл ру. Без дополнительных трудозатрат по сравнении с майл-ру.. Но так, чтобы для большинства проффесионалов это также станет труднорешаемым в приемлимые рамки времени.. Смотрим далее. Нужно быть хорошим проффесионалом. Иметь кучу свободного времени. Быть слегка озабоченным, чтобы явной дурью страдать.. Сочетание всего этого в одном лице очень маловероятно..
Да, и снова повторюсь - я ведь предлагаю это не как постоянное средство, а только для случая уж очень высокой интенсивности постингов - это относительно неудобств для большинства пользователей.. Они ведь эту картинку видеть только изредка будут, во времена пик..

Но впрочем, решение принимать Вам, и Вы совершенно не обязаны отчитываться за свои за и против. Так что извините за некоторую навязчивость..

← →
nikkie (2003-12-15 12:57) [110]

я чегой-то перестал понимать о чем речь... причем тут RSA и его взлом? имхо основная проблема с картинками - если вставлять ее в сабмит форму, то нагрузка на сервер возрастет неимоверно, поскольку генерация картинки - весьма затратная вещь, а сабмит-форма присутствует на каждой странице форума.

но ведь можно показывать картинку только при попытке добавить сообщение - так, как запрашивается пароль, если в куках его нет.

← →
McSimm (2003-12-15 13:00) [111]

> Я упоминал DES и RSA. Как средство шифровки эталоного ответа.
>

Спамер и расшифровывать ничего не будет. Просто использует для атаки готовую пару число-ключ.

> В который зашит не только правильный ответ, а и некая, привязаная
> ко времени сигнатура

Что приведет к необходимости активной борьбы с кешированием, что, в свою очередь:
1. Значительно увеличит трафик/время для посетителей
2. ~ в 20% случаях не сработает и нормальный посетитель будет восприниматься как спамер.
3. все равно позволит спамеру провести достаточно серьезную атаку.

> а только для случая уж очень высокой интенсивности постингов

Т.е. еще и мерять активность необходимо. Допустим вы знаете как это сделать не сильно усложняя жизни серверу и реализовываете. С помощью этого мерила вы засекаете момент начала атаки. Вместо принятия мер против самой атаки, вы каким-то образом включаете "картиночный режим" (при этом, все несколько тысяч пользователей, у которых уже открыт броузер с форумом, обречены получить облом при следующей своей попытке отправить сообщение). Вопрос. Зачем реально нужна эта кухня с картинками?

Выслушав эти мои доводы, вы немного подумав, возможно, придумаете немного другой механизм, а я, в свою очередь, другие аргументы, потому что я продумывал это уже много раз и глубоко.

Я взял систему "картинок" просто для демонстрации. Чтобы показать на примере разницу между теорией и практикой. Когда дело доходит до реализации, а оно доходит у меня, а не у предлагающих, оказывается, что реализация не приведет к желаемому.

← →
McSimm (2003-12-15 13:01) [112]

> Но впрочем, решение принимать Вам, и Вы совершенно не обязаны
> отчитываться за свои за и против. Так что извините за некоторую
> навязчивость..

Я тоже думаю, что не обязан. Но иногда бывает неуютно. Возникает некоторое чувства дискомфорта и утечка всякого энтузиазма, когда после многих часов труда, читаешь, что "администрации все до лампочки", "Им легче сто раз вычищать, чем один раз сделать такую простую и гениальную вещь, как я предлагаю" и т.п.

← →
Ihor Osov'yak (2003-12-15 13:05) [113]

2 nikkie © (15.12.03 12:57)

упоминание RSA появилось как ответ на

>При полном отсутствии мало-мальской защиты от спамера

возникло подозрение, что McSimm подумал, что я предлагаю держать эталонный ответ в почти открытом виде в коде страницы..

Зы. Такую защиту довольно с успехом применяют всякие яху и хотмейлы, и спамеры их уже с трудом впрягают.. Хотя год или два это делали с огромным успехом..

> только при попытке добавить сообщение

Невнимательно читаете. Я предлагаю использовать картинку не при каждом ответе, а только в том случае, когда частота постингов резко возрастает, что происходит при интенсивных спамерских атаках.

← →
Knight (2003-12-15 13:07) [114]

>> McSimm © (15.12.03 10:38) [97]
> Вот, взять для примера предлагаемый способ с картинкой, цифры
> с которой надо ввести в поле ввода. Скажи честно, ты хорошо и
> досконально знаешь работу этого способа, механизм такой защиты?
> Я думаю, что не очень.
Знаю... поэтому и не поддерживаю установку данного метода защиты для постингов, а предлагаю ввести его только в регистрацию... т.е. один раз указал, зарегистрировался и пости себе на здоровье из под СВОЕГО ника. И никак не могу понять, почему вы так боитесь вводить регистрацию, ведь ничего в работе сайта не измениться... проверка пользователя у вас и так есть, запрос на пароль (если такой пользователь есть) тоже, надо только выводить эту же форму авторизации и для тех пользователей ник которых не найден, вместо добавления их постов в форум. Т.е. я только предлагаю закрыть возможность создания левых ников налету... В регистрацию можно вынести только ник и пароль, да защиту от авторегистратора в виде антиспамовой картинки, неужели это отпугнёт кого-то кроме флудеров? Едва ли...

← →
Anatoly Podgoretsky (2003-12-15 13:09) [115]

Эта интенсивность может быть ниже среднего уровня.
Как только появляется какая то автоматическая защита, так сразу начинает действовать "творческая" мысль.

← →
Ihor Osov'yak (2003-12-15 13:15) [116]

2 [112] McSimm © (15.12.03 13:01)

Верю. Замнули тему. Хотя одна реплика

> при этом, все несколько тысяч пользователей, у которых уже открыт броузер с форумом, обречены получить облом при следующей своей попытке отправить сообщение

не совсем так. Можно предлагать OCR уже после постинга..
но все же
> ... вы немного подумав, возможно, придумаете немного другой механизм, а я, в свою очередь, другие аргументы, потому что я продумывал это уже много раз и глубоко.

Так что действительно тему заканчиваем. Хотя бы потому, что людям иногда верить нужно :-)

← →
Ihor Osov'yak (2003-12-15 13:18) [117]

← →
McSimm (2003-12-15 13:19) [118]

>предлагаю ввести его только в регистрацию
Согласен, для борьбы с авторегистрацией этот способ хорошо применим.
При условии обязательной регистрации, которой, как уже указывалось, не будет :)))

← →
Anatoly Podgoretsky (2003-12-15 13:22) [119]

McSimm © (15.12.03 13:19) [118]
Вся проблема в этом.
Ну может когда ни будь администрация изменит это мнение, хотя как я знаю это принципиальная позиция.

← →
McSimm (2003-12-15 13:29) [120]

> как я знаю это принципиальная позиция

Как верно подметил г-н Lmz (с) (он же Rki) в своем неопубликованном постинге:
>Можно сказать, по религиозным причинам :)

---|Ветка была без названия|--- Найти похожие ветки