---|Ветка была без названия|---

← →
SkyRanger (2003-12-08 04:02) [0]

Поздравляю всех с первой атакой на этот форум. Кажется подобных атак наш форум еще не видел. В течении пары часов было запостенно ОГРОМНОЕ количество сообщений. Более конкретно сколько их было потом скажут модераторы или админ... Соответственно все старые темы находятся где то... Я надеюсь в архиве...
Кто виноват и что делать, об этом надо спросить админов и модераторов сайта...

И еще предложение:
Как решить проблему. Придется модераторам ужесточать правила, наверно... Предлагаю ввести ограничение на количество постов, например 1 пост в минуту, для тех, кто зарегился уже давно, как минимум полгода назад, и достаточно активен на форуме, для остальных от 10 до 30 минут, а для гостей 1 раз в час... Это может и жестоко, но позволит избежать такой проблемы, как мы видим сейчас, во всех форумах, нашего любимого сайта...
Это мое предложение, я не админ и не модератор, но это сделать необходимо или подобные меры предпринять, подобное НЕ ДОЛЖНО повториться!!!

← →
Спрашивающий_ (2003-12-08 04:20) [1]

Я думаю что конечно модераторам надо принять дополнительные меры защиты, хотя по времени для новичков и не зарегистрированных я бы ограничения не ставил,среди новичков и не зпрегистрированные посетителей сайта большинство нормальных людей и их ограничивать думаю не стоит, а что касается атаки, так это общее горе, и оно будет до тех пор пока есть если назвать мягко не совсем нормальные люди, которые могут самореализоваться только напакостив другому. У меня такое предложение - не отвечать на вопросы людям где даже приблизительно есть намеки на виросописание и т.п.

← →
MAC (2003-12-08 04:51) [2]

ДААА, нехорошо !!!

>Спрашивающий_ - это не поможет. Тут нужно рыться в другом.
В чём именно -- наверное модераторы и разбираются.

← →
MAC (2003-12-08 04:51) [3]

← →
Deedlit (2003-12-08 05:01) [4]

Флуд-контроль в любом случае нужен. Странно, что его ещё не ввели, и неудивительно, что эту случилось. Прыщавых мальчиков с желанием выпердриться везде хватает.

← →
Deedlit (2003-12-08 05:03) [5]

Гомен, "выпендриться". :(((

P.S. Господа администраторы, если всё же будете переделывать форум, сделайте зарегистрированным возможность править свои посты в течении, скажем, часа с момента поста. Пожалуйста. Иногда времени нет, набираешь не глядя - и такой бред отправляешь, стыдно ужасно... :(

← →
Кен (2003-12-08 05:54) [6]

Сразу вспоминается легенда об отделе информационного терроризма в ФСБ, о том как они борятся со свободой слова в критические для политики дни. А может и не легенды это вовсе.

← →
Кен (2003-12-08 06:00) [7]

На других форумах ограничения немного другие.

Что то типа, в день с одного айпи максимум
5 тем, 20 ответов в темы, не чаще 1 постинга в минуту. ( Цифры могут быть другие )

← →
npAKTuk (2003-12-08 06:11) [8]

одно не понятно, чего этот "человек" хотел добиться?

известности нету, икота и горящие уши - недели на две, и поломанный сайт :(

ЗАЧЕМ?

← →
Кен (2003-12-08 06:21) [9]

> npAKTuk © (08.12.03 06:11) [8]
> одно не понятно, чего этот "человек" хотел добиться?
>
> известности нету, икота и горящие уши - недели на две, и
> поломанный сайт :(
>
> ЗАЧЕМ?

А зачем было уничтожено НТВ-ТВ6-ТВС ? Зачем душат свободу слова ? А затем, что кое кто боиться конкуренции и единственный способ для него иметь высокий рэйтинг это быть раком на безрыбьи.

← →
SPeller (2003-12-08 06:37) [10]

Я думаю что лучше сделать ограничения на частоту постингов и количество создаваемых тем в единицу времени с одного IP. IMHO, в таком случае уже не получится закинуть на форум 1000 веток за минуту. И не будет крендель ждать час чтобы закинуть около 60 левых веток.

← →
Спрашивающий_ (2003-12-08 06:44) [11]

> npAKTuk © (08.12.03 06:11) [8]
> одно не понятно, чего этот "человек" хотел добиться?
>
> известности нету, икота и горящие уши - недели на две, и
> поломанный сайт :(
>
> ЗАЧЕМ?

Я думаю все намного проще чем написал Кен © (08.12.03 06:21) ,
такие и подобные атаки, ровно как и вирусы на мой взгляд устраивают люди которым не чем заняться, которых как правило кормят мама с папой, да и еще из ложечки, которым не надо думать о хлебе насущном и поэтому они занимаются всякими пакастями.

← →
npAKTuk (2003-12-08 07:35) [12]

People! a eto vozmojno - otkluchenie kompa ot Ineta po ego IP?

togda luboi spammer ili hacker budet prosto izgonyatsya is seti?

PS sorry for translit, gluk :)

← →
mfender (2003-12-08 08:13) [13]

> SPeller © (08.12.03 06:37) [10]
> Я думаю что лучше сделать ограничения на частоту постингов
> и количество создаваемых тем в единицу времени с одного
> IP. IMHO, в таком случае уже не получится закинуть на форум
> 1000 веток за минуту. И не будет крендель ждать час чтобы
> закинуть около 60 левых веток.

Есть одни подводные грабли в этом деле: например, весь Краснодарский край почти и Адыгея идут через один прокс. Соответственно, для этого форума у всех - хоть из Анапы, хоть из Сочи, хоть из Майкопа будет один IP. Что тут поделаешь?

← →
Юрий Зотов (2003-12-08 08:13) [14]

А я вчера в подъезде подскользнулся и чуть не упал. Наверняка это спецслужбы масла на пол налили. А-а-а, на меня покушение совершено!!! А-а-а, свободу слова зажимают!!!

Господи, какой же бред несут иногда люди. Очередной прыщавый сопляк в силу своего дебилизма задумал отомстить модераторам - так нет, это происки спецслужб. Свободу слова и демократию затыкают. А с "мастаков" начали потому, что это, безусловно, самый главный носитель демократии и потому самый опасный сайт для них во всей Европе.

Я надеюсь, что через некоторе время наш юный герой тоже напишет "дяденьки, простите, заберите заявление". Как это уже было.

← →
mfender (2003-12-08 08:19) [15]

> Юрий Зотов © (08.12.03 08:13) [14]
> Наверняка это спецслужбы масла на пол налили.

Чекисты еще и не такое могут :) Для защиты-то демократии от свободы слова масла не жалко!

← →
KSergey (2003-12-08 08:22) [16]

npAKTuk © (08.12.03 06:11) [8]
одно не понятно, чего этот "человек" хотел добиться?

известности нету, икота и горящие уши - недели на две, и поломанный сайт :(

ЗАЧЕМ?

Сделал гадость - сердцу радость! Это же давно известный факт!

PS
Вот скажи сам: зафиг мне в мороз, который был у нас дня 4 назад (под -30) на замки машины воды налили? Это же прикольно! И с друзьями поржали, наверное.

← →
Рамиль (2003-12-08 08:24) [17]

> 1 пост в минуту, для тех, кто зарегился уже давно, как минимум
> полгода назад, и достаточно активен на форуме, для остальных
> от 10 до 30 минут,

1 минута куда еще не шло, 10-30 слишком. Много подключений Dialup по времени, это будет обвал.
З.Ы. А сколько тем хороших было... Это видимо из за веток, в которых обсуждались выборы в Думу;-)

← →
mfender (2003-12-08 08:30) [18]

Рамиль © (08.12.03 08:24) [17]
> Это видимо из за веток, в которых обсуждались выборы в Думу;-)

А в "основной" тоже политические дебаты велись?

← →
KSergey (2003-12-08 08:31) [19]

> mfender © (08.12.03 08:13) [13]
> Есть одни подводные грабли в этом деле: например, весь Краснодарский
> край почти и Адыгея идут через один прокс.

Я конечно не знаю какова там жизнь в Краснодарском крае, но, извините, с трудом что-то верится...

← →
mfender (2003-12-08 08:33) [20]

> KSergey © (08.12.03 08:31) [19]
> Я конечно не знаю какова там жизнь в Краснодарском крае,
> но, извините, с трудом что-то верится...

А трассерром попробуйте.

← →
SkyRanger (2003-12-08 08:53) [21]

Блин! Таких уродов нада сажать... Причем буквально сажать... Чтобы другим подобным уродам было неповадно...
А насчет ограничений - ИМХО их НУЖНО вводить, а то такое безобразие может повториться, ну или на крайняк, для модератора сделать кнопочку, которая отключает прием новых постов. Но это на крайний случай...

← →
blackman (2003-12-08 09:28) [22]

>Юрий Зотов © (08.12.03 08:13) [14]
Глупо

← →
Думкин (2003-12-08 09:37) [23]

> [22] blackman © (08.12.03 09:28)

Не глупо - а в самую точку.

← →
Polevi (2003-12-08 09:49) [24]

>SkyRanger © (08.12.03 08:53) [21]
всех сажать, однозначно ! остальных мочить в сортирах, ура !!!

← →
blackman (2003-12-08 10:01) [25]

>Думкин © (08.12.03 09:37) [23]
>Не глупо - а в самую точку.
Точку теперь конечно поставят :-[
Кроме ЛДПР теперь еще и Родина близнецы братья :]
Однозначно :#

← →
Rihter (2003-12-08 10:04) [26]

Исчезли ветки

Мастера DELPHI Теория бумажки или к вопросу о шнуризме.
Мастера DELPHI шахматная проблема.

Это вот сейчас что могу вспомнить

← →
Думкин (2003-12-08 10:08) [27]

> [25] blackman © (08.12.03 10:01)

Смешной ты. Выборы в России всегда, во все времена были цирком, который никогда не влиял на реальную расстановку сил.
Резкие изменения у нас бывают только после применения оружия.
А так - прошел еще один показушник. Результаты были ясны заранее и всем.

← →
Юрий Зотов (2003-12-08 11:29) [28]

> blackman © (08.12.03 09:28) [22]
И я о том же, доказательный Вы мой.

← →
Rouse_ (2003-12-08 11:38) [29]

> [26] Rihter (08.12.03 10:04)
также исчезли 2 ветки о NYMMP и ветка Юрия Зотова... в которой на него еще пытались наехать...

← →
Rouse_ (2003-12-08 11:46) [30]

Удалено модератором
Примечание: Offtopic

← →
Дремучий (2003-12-08 12:47) [31]

можно ли узнать айпишник(и) атакующего?

← →
Дремучий (2003-12-08 12:53) [32]

>>McSimm
ты мои icq-сообщения получаешь?
мне пишет - Квитанция не получена.

← →
Rouse_ (2003-12-08 12:58) [33]

> [31] Дремучий © (08.12.03 12:47)
Смотря в каком сегменте сети ты находишся...

← →
blackman (2003-12-08 13:11) [34]

>Думкин © (08.12.03 10:08) [27]
Ничего смешного я не вижу.
Почитай:

http://www.shender.ru/paper/text/?file=26

и на этом всё. Прошу к столу, вскипело...

← →
Anatoly Podgoretsky (2003-12-08 13:14) [35]

Дремучий © (08.12.03 12:47) [31]
Зачем тебе его ИП, это твой же модератор.

← →
panov (2003-12-08 13:15) [36]

Удалено модератором

← →
Gorlum (2003-12-08 13:56) [37]

> [22] blackman © (08.12.03 09:28)
Нет, не глупо.
Как тот урод был крут, а потом весело было читать, как он прощения выпрашивает.
Надеюсь и этого прижмут.
С нетерпением жду открытия ветки:
""дяденьки, простите, заберите заявление-2""

← →
KSergey (2003-12-08 15:56) [38]

> Anatoly Podgoretsky © (08.12.03 13:14) [35]
> Дремучий © (08.12.03 12:47) [31]
> Зачем тебе его ИП, это твой же модератор.

И нигде конкретики!!
Люди, ну откройте же тайну великую! ;) Кто?

← →
McSimm (2003-12-08 16:11) [39]

> Люди, ну откройте же тайну великую! ;) Кто?

Просто очередной Герострат :)
Зачем же его рекламировать? :)

← →
Marser (2003-12-08 18:39) [40]

Шо, опять?! (С)

"Мочить надо беспредельшиков, я думаю" (С)

← →
Style (2003-12-08 19:39) [41]

Бред. Если и будут атаковать то и IP поменяют, и MAC-адресс сетевой тоже..

Отследть такого хацкера мне кажеться невозможно!

Кто же флудить под своим IP будет?
Наверное только ребёнок... Так что действительно ждем заявления :)

Антифлуда на 1 минуту достаточно

← →
Marser (2003-12-08 19:44) [42]

> Кто же флудить под своим IP будет?
> Наверное только ребёнок... Так что действительно ждем заявления
> :)

А кто флудить В ПРИНЦИПЕ будет? Лишь ребенок...

← →
Style (2003-12-08 19:46) [43]

->[42]
Не обязательно, много же козлов на этом свете!

← →
Delphi5.01 (2003-12-08 21:16) [44]

Програмеры посмотрите на этот факт с другой стороны! Возможно он написал прогу которая отсылает месаги на форум и случайно програма глюкнулась, а именно зациклилась(рекурси не правильно написана была), в этом случае это не нарушение :-))))))

← →
panov (2003-12-08 21:26) [45]

>Delphi5.01 © (08.12.03 21:16) [44

Наивный-)

← →
Style (2003-12-08 21:47) [46]

Ну ну.. случайно забыл что не хорошо использовать Метки :)

← →
Marser (2003-12-08 22:39) [47]

> Style © (08.12.03 21:47) [46]
> Ну ну.. случайно забыл что не хорошо использовать Метки
> :)

В мультипоточном флудере.

← →
SergP (2003-12-09 08:27) [48]

> mfender © (08.12.03 08:13) [13]
>
>
> Есть одни подводные грабли в этом деле: например, весь Краснодарский
> край почти и Адыгея идут через один прокс. Соответственно,
> для этого форума у всех - хоть из Анапы, хоть из Сочи, хоть
> из Майкопа будет один IP. Что тут поделаешь?

Так если сделать ограничение на количество сообщений с одного IP для незарегистрированных, то по идее все должно быть нормально. Но ИМХО администрацию сайта все эти Ваши (т.е. наши) предложения не интересуют, им приятнее чистить и восстанавливать форум после каждой атаки...

← →
McSimm (2003-12-09 11:23) [49]

> SergP © (09.12.03 08:27) [48]

Вы заблуждаетесь. Как относительно ценности ваших идей, так и относительно предпочтений администрации.

← →
Дремучий (2003-12-09 11:36) [50]

> McSimm © (09.12.03 11:23) [49]
> Вы заблуждаетесь. Как относительно ценности ваших идей...

:)))

← →
reticon (2003-12-09 14:00) [51]

← →
Anatoly Podgoretsky (2003-12-09 15:25) [52]

Это проблема Краснодарского края, пусть они сами борятся с хакерами, и не позволяют использовать свой прокси для атак.

← →
Knight (2003-12-11 20:27) [53]

Люди, а почему вы не хотите ввести одноразовый тикет на форму? Конечно не панацея, но, по крайней мере, односторонние посты обрежет. Чтоб сделать автофлудер, придется грузить, как минимум, до формы и искать там этот тикет, который служит пропуском на добавление поста, т.е. флудер, должен будет обязательно получить ответ сервера, значит его реальный адрес обязательно где-то засветится. Если код не верен, то рефрешить страницу и вставлять посланный текст в поля формы.

← →
хз (2003-12-11 20:55) [54]

panov © (08.12.03 13:15) [36]

Удалено модератором

:-))))

← →
panov (2003-12-11 20:57) [55]

>хз © (11.12.03 20:55) [54]
Ну что поделаешь, если собственную цензуру не прошел-)

← →
VictorT (2003-12-11 21:03) [56]

>А я вчера в подъезде подскользнулся и чуть не упал. Наверняка это спецслужбы масла на пол налили.
Это не спецслужбы, это Аннушка :)

← →
wnew (2003-12-11 21:07) [57]

> Это не спецслужбы, это Аннушка :)

А трамвай опоздал что ли? :)

← →
Knight (2003-12-11 21:10) [58]

А мой пост никто не видел, что ли? :)

← →
panov (2003-12-11 21:11) [59]

>Knight © (11.12.03 21:10) [58]
Видели, но не все так быстро-)

← →
Юрий Зотов (2003-12-11 21:12) [60]

> VictorT © (11.12.03 21:03) [56]
Аннушка, конечно. Майор спецслужб Анна Ивановна Петрова.

> wnew (11.12.03 21:07) [57]
Задержка трамвая тоже была организована спецслужбами. Адназначна.

← →
Knight (2003-12-11 21:13) [61]

>> panov © (11.12.03 21:11) [59]
> Видели, но не все так быстро-)
То что не так быстро, это понятно... но чем не нравится вам этот вариант? Хотя согласен... с клиентами заморочки будут, но я ими не пользуюсь :)

← →
panov (2003-12-11 21:20) [62]

>Knight © (11.12.03 21:13) [61]
Мысль интересная.

Завтра МАксим появится - обсудим. Думаю, что он сам увидит.

Но как быть с незарегистрированными пользователями?

Т.е. имеется ввиду, что для того, чтобы написать сообщение, нужно обязательно перед этим зайти на сайт и в виде Кукис получить тикет? Или код сеанса....

Лучше бы в привате обсудить этот вопрос. В аське или в чате.

← →
panov (2003-12-11 21:22) [63]

хотя идея понятна... спасибо...

← →
wnew (2003-12-11 21:33) [64]

В eBay-аукционе так сделано и это их защищает от жуликов.

← →
Knight (2003-12-11 21:38) [65]

>> panov © (11.12.03 21:20) [62]
> Завтра МАксим появится - обсудим. Думаю, что он сам увидит.
Я уже предлагал это письмом ещё после первой атаки, но ответили, что придумали, что-то своё...

> Т.е. имеется ввиду, что для того, чтобы написать сообщение,
> нужно обязательно перед этим зайти на сайт и в виде Кукис
> получить тикет? Или код сеанса....

Тикет не на кукис, а на форму и работает одинакого, как для зарегистрированных, так и для незарегистрированных пользователей... хотя тут есть ещё одни грабли и надо подумать, как их обойти.

← →
Soft (2003-12-12 01:07) [66]

Часть 1. Проблема снобизма.

Проблема в атаках на форум, прежде всего, состоит в излишнем снобизме некоторых участников, которых многие знают. Не нужно рассматривать всех участников форума, как сознательных и здраво рассуждающих личностей, иногда сюда заходят дети и люди со слегка нестабильной психикой, они имею такие же права, как и вы. Ваше отношение и придирки к ним провоцирует их на эмоциональный срыв, который выражается в таких вот атаках. Проблема состоит в высоком ЧСВ(чувстве собственной важности) ВСЕХ участников форума. Если рассмотреть с точки зрения психологии, то многие ответы по типу: “сам дурак, а еще и рассуждаешь” способны вызвать эмоциональный срыв даже у вполне завершенной личности(если это не Будда). Может, стоит терпимее относится к неразумности и, вытекающей из этого, мании величия некоторых личностей? Тогда и форум будет чист, модераторы довольны и никто не останется обиженным.

Часть 2. Средства защиты.

1) Ввести проверку правописания слов по словарю, если 30% слов сообщения – это слова с ошибками, сообщение удаляется автоматически.
2) Ввести автоматическую регистрацию ников. Если человек ввел новый ник, то он автоматически регистрируется в системе, но без пароля. Ограничение по времени на количество создаваемых новых ников по всему сайту.
3) Тикет выдается на ник, а не на форму, при отправке сообщения. В течении часа у ника есть 15(?) тикетов, которые он может использовать даже непрерывно, но в течении часа, не более этого числа.

Часть 3. Средства защиты. Фантастический вариант.

Сделать смыслоуловитель текста, но это уже к Dmitry O. :)

← →
McSimm (2003-12-12 10:25) [67]

Друзья, я уже подустал объяснять всем желающим помочь идеями в борьбе с атаками почему их вариант не подходит. Так что извините если чьи-то старания остались без ответа. В любом случае спасибо.

Поверьте, то что вам может казаться легким и надежным на самом деле вовсе таковым не является.
В большинстве своем предложенные идеи не приводят к желаемому результату, т.е. нисколько не затруднят атакующего. Но при этом добавляют массу проблем для посетителей, неоправданно нагружают сервер. Или же эта идея в той или иной модификации уже реализована или будет реализована.

← →
Knight (2003-12-12 13:11) [68]

>> Soft © (12.12.03 01:07) [66]
> Тогда и форум будет чист, модераторы довольны и никто не
> останется обиженным.
Ну ты, сказочник... :)

>> McSimm © (12.12.03 10:25) [67]
Но, то что реализовано сейчас, ИМХО, их, похоже, вообще никак их не затрудняет.

← →
McSimm (2003-12-12 13:21) [69]

> Но, то что реализовано сейчас, ИМХО, их, похоже, вообще
> никак их не затрудняет.

Это не так.

← →
Knight (2003-12-12 13:25) [70]

>> McSimm © (12.12.03 13:21) [69]
Т.е. ты хочешь сказать, что в понедельник тут был супер хакер, прорвавший вашу пупер защиту? :)

← →
Ihor Osov'yak (2003-12-12 13:51) [71]

Не знаю, все же рискну своих пять копеек.
Если поток скорость поступления новых постов увеличивается выше некоторого предела - я имею ввиду суммарная скорость, по всем форумам, со всей ай-пи(предел делаем настраиваемый, и легко доступный модераторам для изменений), то в форме, для посылки сообщения предлагаем антиспам картинку. Буквально с 2 символов, чтобы людей не утруждать.. Но со всякими рандомными эффектами, типа разных фонтов и углов наклона..
Если скорость поступления новых постингов относительно низка - не морочим людям голову..
При таком подходе остается вопрос, относительно работающих через клиент-интерфейсы, но таких мало, да и клиента для атаки приспособить - немного больше извилин нужно иметь.. А наличие извилин как бы подразумевает, что человек ерундой страдать не будет..

← →
вразлет (2003-12-12 14:12) [72]

Идеальных средств защиты не бывает, если Вас захотят снова отыметь, то отымеют, по полной программе.

← →
Ihor Osov'yak (2003-12-12 14:15) [73]

2 [72] вразлет © (12.12.03 14:12)

Вопрос только в стоимости этого процесса. Никакое средство защиты не дает 100 проц. гарантии. Хорошее средство защиты делает процесс "отымения" экономически, и не только экономически, невыгодным..

← →
SPeller (2003-12-12 14:17) [74]

Ввести ограничения и проверки, но всем желающим для разгрузки сервера выдавать сертификаты. Если сертификат есть, то никакой анти-спамерской проверки нет. Естественно, что сертификат тогда не надо на право и налево раздавать.

← →
вразлет (2003-12-12 14:20) [75]

Ihor Osov"yak ©

в точку, безопасность ради безопасности никому не нужна

← →
вразлет (2003-12-12 14:23) [76]

SPeller © (12.12.03 14:17) [74]

Простите, для Украины предусмотрена квота? Если да -готов сделать оптовую закупку сертификатов, вагона два, три, максимум четыре.

← →
McSimm (2003-12-12 14:34) [77]

Тут некто написал сообщение в эту ветку, но оно не было сюда допущено по некоторым причинам. Я отвечу на кое-какие тезисы.

Если McSimm устал объяснять - объясню я.

1) McSimm считает себе достаточно хорошим специалистом, а вас не особо хорошими, так как он делает популярный сайт, а вы
всего лишь этот сайт посещаете, так что ваши предложение ему до лампочки. Хотя на самом деле предложения так себе

Не знаю почему вы решили взвалить на себя труд отвечать за меня, но вынужден вас огорчить, ваши ответы неверны.
1. Я не отношусь к посетителям свысока и это очень многие с кем я общаюсь могут подтвердить.
2. Все предложения и пожелания я рассматриваю. Другое дело, что отвечать не всегда удается, об этом я и написал.

2) Knight

Проблема для программ-клиентов этого форума. McSimm сам пользуется таковым.

Проблема с производительностью сайта. Сейчас странички выдаются статически, а в твоем случае их придется выдавать
динамически. Мощности сервера (он к тому же виртуальный, а не выделенный) не хватит для этого.

Никакой проблемы с программами-клиентами нет. Также нет особой проблемы со статикой/динамикой. Правда могут возникнуть проблемы с кешем и на второй же день введения системы "тикетов" половина пишущих взвоет.

Часть текста пропущено

Чтобы вы там не придумали - есть один способ:
посты разрешены только зарегистрированным пользователям + регистрация с подтверждение по e-mail.
Но этого никогда не будет. Можно сказать, по религиозным причинам :)
Тут все верно.

Поэтому, единственное что остается - это блокировка по IP адресу + лимит на создание тем в конференциях.
Тоже достаточно близко.

← →
Rouse_ (2003-12-12 14:51) [78]

> если Вас захотят снова отыметь, то отымеют, по полной программе
Ты не видишь к сожалению полной картины...
Не забывайте что на форумах модераторами работают обычные люди, и месть комуто... (Как выразился Nick8) сказывается прежде всего на них... а именно на их деньгах за траффик, за удаление всего того мусора...
Вы же тоже поймите...

А по поводу "неизвесного" на сообщение которого ответил Максим... я хотел бы ответить одно...:
Если вы бы подумали прежде чем постить Рики, вы б так и сказали, что Максим действительно является Хорошим специалистом и ,между прочим, только благодаря ему весь этот форум до сих пор еще и живет...

Юрий Зотов сколько раз говорил? Все идет только на чистом энтузиазме, и никто за это денег не получает... Спасибо б сказали лучше...

← →
вразлет (2003-12-12 15:06) [79]

Rouse_ © (12.12.03 14:51) [78]

Второй закон Ньютона помнишь?

← →
Knight (2003-12-12 19:13) [80]

Да, введите вы обязательную регистрацию и всё. Это самое дешёвое и действенное из всех средств защиты. Для нормальных мастаков, это препятствием не будет. Раньше, для привлечения количества, это был хороший ход, а теперь пора переходить в качество. Против спама добавить в форму регистрации картинку с числом, а всё остальное практически не измениться. При получении поста от незарегистрированного пользователя, не добавлять его, как сейчас, а выводить просьбу о регистрации. ИМХО... против будут только те против кого это будет направленно. Можно, если "нервные" не уймутся, ввести проверку мэила и сделать правило "один ящик-одни ник".

Предлагаю вынести вопрос о регистрации на голосование (только не в форуме, а в то что в рассылке и в списке тем) и посмотрим, что скажут сами мастаки, можно провести также ещё одно голосование только среди зарегистрированных пользователей, примерная тема "Мешает ли вам регистрация?"

← →
Knight (2003-12-12 20:57) [81]

Кстати, регистрация, даст возможность точно отслеживать количество созданных тем, посланных постов и т.п. в единицу времени и если "вредители" не уймутся, то ограничить их разумными значениями.

← →
Fantasist (2003-12-12 23:52) [82]

> Второй закон Ньютона помнишь?

a=F/m. А о противодействии сил - это третий. Первый о инерциальных системах отсчета.

← →
SkyRanger (2003-12-13 03:31) [83]

почитал я все это... Мдааа... Единственное что могу вынести нам ненавязчиво намекают, мол,
- Мальчик ты кто вааще??? Иди дяди сами без тебя разберуться... (просьба не обижаться)
Чтож... Будем ждать что принесет нам будущее...
А тему можно и прикрывать, а то начинаются наезды на админов и переход на личности не за горами...
А вообще читайте ПРАВИЛА форума:
В Форуме не принято обсуждение настоящих правил и политики модеpиpования. Для этого существует адрес adm@delphimaster.ru

← →
SPeller (2003-12-13 11:06) [84]

> Простите, для Украины предусмотрена квота? Если да -готов
> сделать оптовую закупку сертификатов, вагона два, три, максимум
> четыре.

Я имел ввиду электронные сертификаты. Как на вебмани различают кто пришёл. Так же и тут. Есть посетитель, которого администрация считает надёжным - дать ему сертификат и никакой анти-спам проверки для него проводиться не будет. Нет сертификата - проверять и ограничивать. Естественно, не каждому персонально раздавать из рук Максима или модераторов, а автоматизировать процесс. Например, время существования ника больше недели. Нажимаем кнопочку где-то, и нам на е-мэйл приходит сертификат. Хотя, глюк это.
Могу предложить другой вариант: вводить ограничения только для незарегистрированных ников, время появления которых меньше дня или недели. Если ник живёт дольше, то можно не проверять.

← →
Knight (2003-12-13 12:22) [85]

>> SkyRanger © (13.12.03 03:31) [83]
К модераторам притензий нет... просто жаль людей, которым приходится восстанавливать форум после посещенй всяких отморозков...

← →
Nick Denry (2003-12-13 12:39) [86]

Я тут конечно давно не был, не знаючто за аттаки и т.д., но првила от автора ИМХО жестковато....

← →
mfender (2003-12-13 12:55) [87]

> SergP © (09.12.03 08:27) [48]
> Так если сделать ограничение на количество сообщений с одного
> IP для незарегистрированных, то по идее все должно быть
> нормально. Но ИМХО администрацию сайта все эти Ваши (т.е.
> наши) предложения не интересуют, им приятнее чистить и восстанавливать
> форум после каждой атаки...

Думаю тут лучше сделать условие, что если с одного IP больше одного поста в полминуты, значит - что-то не нормально и нужно ограничить.

> reticon © (09.12.03 14:00) [51]
Ты имеешь ввиду 193.232.246.88 ???

Я имею ввиду ЮТК.

← →
mfender (2003-12-13 13:03) [88]

> Anatoly Podgoretsky © (09.12.03 15:25) [52]
> Это проблема Краснодарского края, пусть они сами борятся
> с хакерами, и не позволяют использовать свой прокси для
> атак.

Позвольте с Вами не согласиться. Это проблема не моя. И не я виноват в том, что телефонная компания экономит деньги, установив огромных размеров прокс.

> Knight © (11.12.03 20:27) [53]
> Люди, а почему вы не хотите ввести одноразовый тикет на
> форму? Конечно не панацея, но, по крайней мере, односторонние
> посты обрежет. Чтоб сделать автофлудер, придется грузить,
> как минимум, до формы и искать там этот тикет, который служит
> пропуском на добавление поста, т.е. флудер, должен будет
> обязательно получить ответ сервера, значит его реальный
> адрес обязательно где-то засветится. Если код не верен,
> то рефрешить страницу и вставлять посланный текст в поля
> формы.

Здравая мысль.
Главное убедиться, что форма в бровзере загрузилась.

← →
mfender (2003-12-13 13:14) [89]

> Knight © (12.12.03 19:13) [80]
> Да, введите вы обязательную регистрацию и всё. Это самое
> дешёвое и действенное из всех средств защиты. Для нормальных
> мастаков, это препятствием не будет. Раньше, для привлечения
> количества, это был хороший ход, а теперь пора переходить
> в качество. Против спама добавить в форму регистрации картинку
> с числом, а всё остальное практически не измениться. При
> получении поста от незарегистрированного пользователя, не
> добавлять его, как сейчас, а выводить просьбу о регистрации.
> ИМХО... против будут только те против кого это будет направленно.
> Можно, если "нервные" не уймутся, ввести проверку мэила
> и сделать правило "один ящик-одни ник".
>
> Предлагаю вынести вопрос о регистрации на голосование (только
> не в форуме, а в то что в рассылке и в списке тем) и посмотрим,
> что скажут сами мастаки, можно провести также ещё одно голосование
> только среди зарегистрированных пользователей, примерная
> тема "Мешает ли вам регистрация?"

Позвольте и с Вами не согласиться. Обязательная регистрация не может повлиять ни на что. Разве только сделать приватный форум для узкого круга лиц, знакомых друг с другом. Тогда теряется всякий смысл данного форума. Ибо, взять к примеру тему "Основная", там народ обращается к Мастерам, желая, догадываюсь, получить квалифицированный ответ на свой вопрос.
Приватный же форум такого не даст. В очередной раз приведу в пример сгинувший форум РБН.

← →
Knight (2003-12-13 20:58) [90]

>> mfender © (13.12.03 13:14)
> Главное убедиться, что форма в бровзере загрузилась.
Да хоть в клиенте, только он должен перед тем как постить, получить на это разрешение в виде тикета, который должен будет добавить в свой пост, а чтобы получить он должен сначала засветить где-либо свой реальный ИП так-что при желании путь пакета можно будет отследить.

> Обязательная регистрация не может повлиять ни на что. Разве
> только сделать приватный форум для узкого круга лиц.
Причём тут приватный форум? Я говорю о том, что, чтобы прежде чем постить, человек должен зарегистрировать свой ник, пройдя один раз антиспамовый контроль в виде нескольких чисел на зашумлённом изображении. Сейчас, если блокируется ИП, то флудер может его сменить, если блокируется ник, то тут же может сгенерироваться новый, а с регистрацией этого уже не будет. Тогда можно будет говорить о контроле количества чего-либо и т.п. пока нет постоянного ника эти методы бесполезны, т.к., как было описано выше, ИП блокировать бесполезно.

>> Админам
Господа, вы наверняка можете поделиться соотношением зарегистрированных пользователей к незарегистрированным, у меня такое ощущение, что вторых не так и много :)

← →
Knight (2003-12-14 13:50) [91]

← →
Рики-Тики (2003-12-14 14:20) [92]

Rouse_ © (12.12.03 14:51) [78]

а откуда ты узнал под каким именем я запостил сообщение? McSimm не говорил этого. Rouse, ты тоже, получается, администратор? :)
А что же от значка мастера отказываешься...

А мой пост не прошел не по кое-каким причинам, а по одной - вы успели заблокировать прокси, с которого я сюда шел. Какие вы блин шустрые :) У вас небось огромнейший список прокси есть :) Поделитесь. А то я не могу светить свой реальный IP адрес.

← →
Knight (2003-12-14 16:57) [93]

Всё-таки хотелось бы услышать мнение админов по-поводу регистрации и соотношения зарегистрированных пользователей к незарегистрированным... По мылу это посылал, но ответа не получил, так может тут ответите? :)

← →
panov (2003-12-14 19:07) [94]

>Рики-Тики (14.12.03 14:20) [92]
А то я не могу светить свой реальный IP адрес.

Это твои проблемы.

← →
имя (2003-12-14 19:51) [95]

Удалено модератором

← →
имя (2003-12-14 19:54) [96]

Удалено модератором

← →
McSimm (2003-12-15 10:38) [97]

>Всё-таки хотелось бы услышать мнение админов по-поводу регистрации и соотношения зарегистрированных пользователей к незарегистрированным... По мылу это посылал, но ответа не получил, так может тут ответите? :)

> мнение админов по-поводу регистрации
Регистрация обязательной не будет.

>соотношения зарегистрированных пользователей к незарегистрированным
Такой статистики нет, да и зачем она? О чем может поведать это число - непонятно.

>Knight ©
Александр, мне понятно твое стремление оградить форум от неприятностей. Я, наверное повторяюсь, но что же делать. Механизмы защиты должны быть максимально прозрачны для нормальных посетителей и максимально эффективны в плане защиты.
Предложена туча способов, в большинстве своем они, при должном вникании, обладают противоположными свойствами.

Поначалу я всем отвечал, страрался объяснять почему их способ неэффективен, либо неоправданно сложен в реализации, либо бьет по интересам посетителей. Это отнимает много времени.

Вот, взять для примера предлагаемый способ с картинкой, цифры с которой надо ввести в поле ввода. Скажи честно, ты хорошо и досконально знаешь работу этого способа, механизм такой защиты?
Я думаю, что не очень.

← →
Ihor Osov'yak (2003-12-15 11:07) [98]

2 [97] McSimm © (15.12.03 10:38)

> ты хорошо и досконально знаешь работу этого способа, механизм такой защиты?

Не понимаю, что там архисложного сложного в реализации? Единственный минус - придется субмит форму генерировать индивидуально для каждого пользователя. Чтобы уменьшить нагрузку на сервер, да и свести неудобства для пользователей к минимуму, включать такой вариант защиты только в случае высокой суммарной частоты постингов (имеюю ввиду для всех форумов и для всех пользователей).. То есть при низкой частоте - все как сейчас. При достижении некоторого граничного числа - автоматически включается механизм антиспамовских картинок.
Да, естестествено, некоторое время на разработку придется потратить, но имхо, это время соизмеримо с тем временем, которое вы тратите на устранение последствий очередной флуд-атаки..

← →
Dmitriy O. (2003-12-15 11:16) [99]

> способ с картинкой, цифры

Гм а что нет проги которая бы распознавала нарисованные цифры ?

← →
McSimm (2003-12-15 11:20) [100]

>Ihor Osov"yak © (15.12.03 11:07)
Игорь, тогда этот вопрос к тебе.
Скажи честно, ты хорошо и досконально знаешь работу
этого способа, механизм такой защиты?
Или просто видел, что это где-то работает и немного имеешь представление о том как это можно сделать?

Кстати, речь вовсе не о сложности реализации.

← →
Ihor Osov'yak (2003-12-15 11:22) [101]

2 [99] Dmitriy O. © (15.12.03 11:16)

есть "проги". Но не для всяких случаев "нарисования". Причем для некоторых способов нарисования стоимость таких "прог" на порядки выше стоимости кода для рисования.

← →
McSimm (2003-12-15 11:23) [102]

> Dmitriy O. © (15.12.03 11:16) [99]
> Гм а что нет проги которая бы распознавала нарисованные
> цифры ?

Во, срочно займись этим ! :)
(Может на другое меньше времени будет)

В качестве стенда возьми, к примеру, mail.ru. Когда сделаешь, еще адресов подкину.

← →
Ihor Osov'yak (2003-12-15 11:36) [103]

2 [100] McSimm © (15.12.03 11:20)

Да нет, не только видел. Что, есть нужда в консультантах? :-)..
Был грешок в моей биографии, консультировал одних ОЦРшиков :-(.. так что могу расказать, что нужно сделать, чтобы и мои консультации не помогли.. Но думаю, Вы и сами наверное догадываетесь..

Кстати, мои бы консультации для майл.ру, в том виде, как сейчас - помогли бы.. А вот для yahoo - нет. Вернее, без 100 проц. гарантии, и уж наверника очень финансовозатратным весь путь был-бы для оцрщика ..

← →
McSimm (2003-12-15 11:50) [104]

OCR тут не при чем.
Это можно вообще не рассматривать, поскольку затраты на ее реализацию действительно велики.

← →
McSimm (2003-12-15 11:55) [105]

>Вы и сами наверное догадываетесь.
Не знаю о чем надо догадаться, но говоря конкретно о картинках mail.ru - знаю, есть один недостаток, сильно снижающий защищенность от OCR. Но речь вовсе не об этом, а о механизме работы такого рода защиты форм.

← →
Ihor Osov'yak (2003-12-15 12:03) [106]

> Это можно вообще не рассматривать, поскольку затраты на ее реализацию действительно велики

Что-то не понимаю. Это ведь же хорошо. Если мы защищаться собираемся. Или Вы предлагаете в страничке хранить слабозашифрированный ответ? Или собираетесь на сервере помнить, кому какую картинку сформировали?

Имхо, картинка в стиле яху (переменная геометрия фонтов (это для любителей матричных ОЦР, 2-3 рандомайзных искажающих фильтра - а это для любителей анализировать изгибы контуров букв), плюс шифровка эталона каким-то дезом или ерсеа, передача еталона вместе с картинкой как хайден инпут тег, чтобы не вешать на сервер задачу помнить, кому что передали .. Охоту отобьют и у большинства профессионалов, не говоря о школьниках. И это не такая уж сложная и трудоемкая в реализации задача..

← →
Ihor Osov'yak (2003-12-15 12:07) [107]

Впрочем да, я задачу анализировал со стороны ломальщика. Возможно есть ньюансы реализации со стороны защищающихся, которые я не учел. Но думаю, что это маловероятно..

← →
McSimm (2003-12-15 12:10) [108]

> Что-то не понимаю. Это ведь же хорошо.

Да, само по себе это хорошо. Просто речь идет не о методах генерации картинки

> передача еталона вместе с картинкой как хайден инпут тег,
> чтобы не вешать на сервер задачу помнить

То, о чем я и говорил. При полном отсутствии мало-мальской защиты от спамера, метод приведет к реальным проблемам для нормальных посетителей.
Нужно аргументировать?

> Охоту отобьют и у большинства профессионалов, не говоря
> о школьниках.

Ошибаетесь. Мало того, подстегнет.

← →
Ihor Osov'yak (2003-12-15 12:37) [109]

>> передача еталона вместе с картинкой как хайден инпут тег
> При полном отсутствии мало-мальской защиты от спамера

Я упоминал DES и RSA. Как средство шифровки эталоного ответа. В который зашит не только правильный ответ, а и некая, привязаная ко времени сигнатура, чтобы исключить повторное юзание "эталона" немного более продвинутым злоумышленником.
Да, кстати.. За вскрытие RSA обещана серьезная премия и мировая известность. Этого пока никто не сделал. Не думаю, что такие таланты есть и здесь.

> Ошибаетесь. Мало того, подстегнет.

Не знаю. Значит, я плохо разбираюсь в психологии. Я просто считаю.

Для примера. Снова смотрим на картинку с майл.ру. Я бы на нее вгробил несколько дней. Скажем так, 2-6.. Из спортивного интереса делать это не стану. На заказ - тоже маловероятно. То, что я консультировал - то были сайты слегка порнографического направления, и я не сильно чувствовал угрызений совести за эти консультации, хотя немного элемент присутствовал.. А для нормально сайта - нет, сорри.. Но снова о майл ру - то, что профессионал средней руки делает за несколько дней - для озабоченного юнца в большинстве случаев нерешаемая задача.. Да и сделать ведь можно немного более с умом картинку, чем на майл ру. Без дополнительных трудозатрат по сравнении с майл-ру.. Но так, чтобы для большинства проффесионалов это также станет труднорешаемым в приемлимые рамки времени.. Смотрим далее. Нужно быть хорошим проффесионалом. Иметь кучу свободного времени. Быть слегка озабоченным, чтобы явной дурью страдать.. Сочетание всего этого в одном лице очень маловероятно..
Да, и снова повторюсь - я ведь предлагаю это не как постоянное средство, а только для случая уж очень высокой интенсивности постингов - это относительно неудобств для большинства пользователей.. Они ведь эту картинку видеть только изредка будут, во времена пик..

Но впрочем, решение принимать Вам, и Вы совершенно не обязаны отчитываться за свои за и против. Так что извините за некоторую навязчивость..

← →
nikkie (2003-12-15 12:57) [110]

я чегой-то перестал понимать о чем речь... причем тут RSA и его взлом? имхо основная проблема с картинками - если вставлять ее в сабмит форму, то нагрузка на сервер возрастет неимоверно, поскольку генерация картинки - весьма затратная вещь, а сабмит-форма присутствует на каждой странице форума.

но ведь можно показывать картинку только при попытке добавить сообщение - так, как запрашивается пароль, если в куках его нет.

← →
McSimm (2003-12-15 13:00) [111]

> Я упоминал DES и RSA. Как средство шифровки эталоного ответа.
>

Спамер и расшифровывать ничего не будет. Просто использует для атаки готовую пару число-ключ.

> В который зашит не только правильный ответ, а и некая, привязаная
> ко времени сигнатура

Что приведет к необходимости активной борьбы с кешированием, что, в свою очередь:
1. Значительно увеличит трафик/время для посетителей
2. ~ в 20% случаях не сработает и нормальный посетитель будет восприниматься как спамер.
3. все равно позволит спамеру провести достаточно серьезную атаку.

> а только для случая уж очень высокой интенсивности постингов

Т.е. еще и мерять активность необходимо. Допустим вы знаете как это сделать не сильно усложняя жизни серверу и реализовываете. С помощью этого мерила вы засекаете момент начала атаки. Вместо принятия мер против самой атаки, вы каким-то образом включаете "картиночный режим" (при этом, все несколько тысяч пользователей, у которых уже открыт броузер с форумом, обречены получить облом при следующей своей попытке отправить сообщение). Вопрос. Зачем реально нужна эта кухня с картинками?

Выслушав эти мои доводы, вы немного подумав, возможно, придумаете немного другой механизм, а я, в свою очередь, другие аргументы, потому что я продумывал это уже много раз и глубоко.

Я взял систему "картинок" просто для демонстрации. Чтобы показать на примере разницу между теорией и практикой. Когда дело доходит до реализации, а оно доходит у меня, а не у предлагающих, оказывается, что реализация не приведет к желаемому.

← →
McSimm (2003-12-15 13:01) [112]

> Но впрочем, решение принимать Вам, и Вы совершенно не обязаны
> отчитываться за свои за и против. Так что извините за некоторую
> навязчивость..

Я тоже думаю, что не обязан. Но иногда бывает неуютно. Возникает некоторое чувства дискомфорта и утечка всякого энтузиазма, когда после многих часов труда, читаешь, что "администрации все до лампочки", "Им легче сто раз вычищать, чем один раз сделать такую простую и гениальную вещь, как я предлагаю" и т.п.

← →
Ihor Osov'yak (2003-12-15 13:05) [113]

2 nikkie © (15.12.03 12:57)

упоминание RSA появилось как ответ на

>При полном отсутствии мало-мальской защиты от спамера

возникло подозрение, что McSimm подумал, что я предлагаю держать эталонный ответ в почти открытом виде в коде страницы..

Зы. Такую защиту довольно с успехом применяют всякие яху и хотмейлы, и спамеры их уже с трудом впрягают.. Хотя год или два это делали с огромным успехом..

> только при попытке добавить сообщение

Невнимательно читаете. Я предлагаю использовать картинку не при каждом ответе, а только в том случае, когда частота постингов резко возрастает, что происходит при интенсивных спамерских атаках.

← →
Knight (2003-12-15 13:07) [114]

>> McSimm © (15.12.03 10:38) [97]
> Вот, взять для примера предлагаемый способ с картинкой, цифры
> с которой надо ввести в поле ввода. Скажи честно, ты хорошо и
> досконально знаешь работу этого способа, механизм такой защиты?
> Я думаю, что не очень.
Знаю... поэтому и не поддерживаю установку данного метода защиты для постингов, а предлагаю ввести его только в регистрацию... т.е. один раз указал, зарегистрировался и пости себе на здоровье из под СВОЕГО ника. И никак не могу понять, почему вы так боитесь вводить регистрацию, ведь ничего в работе сайта не измениться... проверка пользователя у вас и так есть, запрос на пароль (если такой пользователь есть) тоже, надо только выводить эту же форму авторизации и для тех пользователей ник которых не найден, вместо добавления их постов в форум. Т.е. я только предлагаю закрыть возможность создания левых ников налету... В регистрацию можно вынести только ник и пароль, да защиту от авторегистратора в виде антиспамовой картинки, неужели это отпугнёт кого-то кроме флудеров? Едва ли...

← →
Anatoly Podgoretsky (2003-12-15 13:09) [115]

Эта интенсивность может быть ниже среднего уровня.
Как только появляется какая то автоматическая защита, так сразу начинает действовать "творческая" мысль.

← →
Ihor Osov'yak (2003-12-15 13:15) [116]

2 [112] McSimm © (15.12.03 13:01)

Верю. Замнули тему. Хотя одна реплика

> при этом, все несколько тысяч пользователей, у которых уже открыт броузер с форумом, обречены получить облом при следующей своей попытке отправить сообщение

не совсем так. Можно предлагать OCR уже после постинга..
но все же
> ... вы немного подумав, возможно, придумаете немного другой механизм, а я, в свою очередь, другие аргументы, потому что я продумывал это уже много раз и глубоко.

Так что действительно тему заканчиваем. Хотя бы потому, что людям иногда верить нужно :-)

← →
Ihor Osov'yak (2003-12-15 13:18) [117]

← →
McSimm (2003-12-15 13:19) [118]

>предлагаю ввести его только в регистрацию
Согласен, для борьбы с авторегистрацией этот способ хорошо применим.
При условии обязательной регистрации, которой, как уже указывалось, не будет :)))

← →
Anatoly Podgoretsky (2003-12-15 13:22) [119]

McSimm © (15.12.03 13:19) [118]
Вся проблема в этом.
Ну может когда ни будь администрация изменит это мнение, хотя как я знаю это принципиальная позиция.

← →
McSimm (2003-12-15 13:29) [120]

> как я знаю это принципиальная позиция

Как верно подметил г-н Lmz (с) (он же Rki) в своем неопубликованном постинге:
>Можно сказать, по религиозным причинам :)

← →
SPeller (2003-12-15 14:00) [121]

Прошу меня извинить, если что-то пропустил, но в чём заключается религия необязательной регистрации? Я не собираюсь отговаривать, просто хочу узнать и постараться понять.

← →
McSimm (2003-12-15 14:11) [122]

Умом не понять, аршином не измерить :)
---
Вопрос сложный, много раз обсуждавшийся в разных слоях.
Кроме одной (важной) причины, которую я ну не хочу здесь выносить на обозрение, извините, могу указать, например такую:
- Все зарегистрированные здесь посетители когда-то были незарегистрированными.
- Не все зарегистрированные посетители были бы здесь сейчас, если бы здесь была обязательная регистрация.

Это не из головы, это факт

← →
McSimm (2003-12-15 14:13) [123]

Мда, на всякий случай.
Никакого отношения к гонке за посещаемостью это не имеет, т.к. сама по себе посещаемость не является сколь-нибудь важной целью для администрации. :)

← →
nikkie (2003-12-15 14:20) [124]

я так и непонял, что мешает сделать картиночную проверку для всех постов от незарегистрированных ников? картиночную проверку для регистрации? ограничение 60 постов в час от одного зарегистрированного ника?

← →
Knight (2003-12-15 14:27) [125]

>> McSimm © (15.12.03 14:11) [122]
> - Все зарегистрированные здесь посетители когда-то были
> незарегистрированными.
Не надо о всех... я не был и ничуть об этом не жалею :)

> - Не все зарегистрированные посетители были бы здесь сейчас,
> если бы здесь была обязательная регистрация.
Если бы она была, меньше бы не было... ИМХО, это лучший сайт по Делфи... и не потому-что без регистрации, а потому-что наполнение нормальное и атмосфера дружелюбная.

> Умом не понять, аршином не измерить :)
А вот это уже ближе... :)

← →
SPeller (2003-12-15 14:31) [126]

1. Странно - я сразу зарегистрировался. Но возможно что это только я такой индивид :) Хотя регистрация здесь, в отличие от других форумов очень проста.
2. Не спорю.

Пока что на ум приходит относительно защиты только ограничение на скорость постов с одного IP от незарегистрированных пользователей. Или вообще от всех пользователей.

Можно например так:

Незарегистрированный ник - с данного IP адреса не более N постов в Ед. времени;
Зарегистрированный ник - не более M постов в Ед. времени.

1 - спамеру придётся постоянно менять прокси. А на сайте должен быть блэк-лист анонимных прокси (который по-моему есть). Для жителей неблагополучного региона с одним прокси на всех: регистрируйтесь, товарищи, не будет ведь форум, которым пользуются вся Россия и ближнее зарубежье из-за вашего телефонного оператора. Мы вам сочувствуем.
2 - если спамер захочет спамить из-под зарегистрированного ника чтобы чтобы уйти от ограничения по IP, то ограничивать по времени. Что касаемо нас, обычных пользователей, то кто из нас постит более 2-х веток или постов в минуту?

← →
McSimm (2003-12-15 14:32) [127]

> nikkie © (15.12.03 14:20) [124]
> я так и непонял, что мешает сделать картиночную проверку
> для всех постов от незарегистрированных ников?

Заратустра не позволяет :)))
---
Объясню.
Кроме того, что и это не является защитой, это неудобно и просто задолбает посетителей.
Человек набирает сообщение и нажимает "отправить". Сервер возвращает ему все, что он набрал (в скрытых полях), закодированный код и картинку кода. Просит ввести цифры с картинки. Картинка загружается, пользователь вводит и повторно отправляет свое сообщение на сервер уже вместе с парой <введенное число>-<кодированный ключ> И так каждый раз.
Вопрос: Чем провинился посетитель, чтобы так над ним издеваться? :)

Что делает спамер. Он просто игнорирует первую форму и смотрит вторую. Берет готовую пару число-ключ и благополучно спамит форум. Т.е. этот вариант практически не отличается от варианта ввода числа сразу.

← →
SPeller (2003-12-15 14:34) [128]

> не будет ведь форум, которым пользуются вся Россия

имелось ввиду:

почему джолжен страдать форум, которым пользуются вся Росиия ...

← →
Knight (2003-12-15 14:38) [129]

>> McSimm © (15.12.03 14:32) [127]
Как я уже писал... пора переходить от количества к качеству, а то скоро мастаки линять начнут, выдавливаемые количеством.

← →
Knight (2003-12-15 14:42) [130]

>> McSimm © (15.12.03 14:32) [127]
> Вопрос: Чем провинился посетитель, чтобы так над ним
> издеваться? :)
Своей ленью потратить несколько секунд на регистрацию... :)

← →
nikkie (2003-12-15 14:48) [131]

>Сервер возвращает ему все, что он набрал (в скрытых полях)
да уж... я и не думал, что это так реализовано... поддержки сессий нет?

← →
McSimm (2003-12-15 14:55) [132]

> nikkie © (15.12.03 14:48) [131]

Т.е. хранить пока еще не подтвержденные посты на сервере?
Нет, это не есть гуд.

Даже если сделать так, ведь не это главное, не так ли?

← →
nikkie (2003-12-15 14:59) [133]

ну я ж не знаю, что главное по твоему мнению...

← →
McSimm (2003-12-15 15:06) [134]

>Своей ленью потратить несколько секунд на регистрацию... :)

Вам (нам), давно посещающим, здесь все уже привычно. Многие здесь чувствуют себя здесь уютно.
Для новичка все не так. Ему надо освоится, прочувствовать атмосферу, узнать что здесь и как. До того как он перестанет чувствовать некоторую отчужденность нельзя его обвинять в нежелании регистрироваться.
Старожилам и уже зарегистрированным обязательная регистрация кажется совсем иной, нежели вновь приходящим.
Вы уверены, что вы остались бы на этом сайте, буде здесь всякие навороты с картинками и требования зарегистрироваться? При полном пока еще отсутствии какой-либо привязанности и симпатии к этому месту? Если да, то может вы и правы, а может не очень объективно себя оцениваете. В любом случае для меня очевидно что далеко не все так поступят.
Для меня достаточно того, что не все из весьма уважаемых мной людей на этом сайте остались бы. (по их же словам).

Кроме всего прочего, есть еще причины, близкие по своему определению к фразе "Можно сказать, по религиозным причинам"

← →
Knight (2003-12-15 15:11) [135]

>> McSimm © (15.12.03 15:06) [134]
Для меня регистрация никогда не была чем-то отталкивающим. Сейчас вот вопрос президенту задавал, так вот там регистрация так регистарция... и кто, кем работаешь, сколько лет, с полным адресом и т.д. Но, как говориться, если надо, значит надо... Есть такое понятие РОДИНА :)

← →
Knight (2003-12-15 15:14) [136]

>> McSimm © (15.12.03 15:06) [134]
Поэтому и тут, первое что сделал, зашёл и зарегистрировался... в частности тоже по "религиозным" причинам... не люблю когда у других есть возможность без проблем постить от моего имени... :)

← →
nikkie (2003-12-15 15:14) [137]

>Knight
а представляешь, если президенту, чтобы ответить на твой вопрос тоже придется пройти такую регистрацию? :)))

← →
McSimm (2003-12-15 15:21) [138]

> ну я ж не знаю, что главное по твоему мнению...

А по твоему мнению? В моем объяснении кроме момента с повторной передачей данных формы есть еще доводы.

> Knight © (15.12.03 15:14) [136]

Но мне надо думать не только о тебе, согласись

← →
Knight (2003-12-15 15:41) [139]

>> McSimm © (15.12.03 15:21) [138]
Так я и предлагаю... включи вопрос о регистрации в голосование и узнаем, что скажет народ. Если большинство будет против, то гарантирую, что с моей стороны этого предложения больше поступать не будет :)

Только голосование, наверно, стоит провести раздельно между зарегистрированными и гостями

← →
McSimm (2003-12-15 15:49) [140]

> Knight © (15.12.03 15:41) [139]

Большинство не будет против, это я и так знаю. Т.к. те кто против не будут голосовать - их нет :)

Но в любом случае результаты голосования не являются решающим пунктом. Для меня достаточно мнения нескольких человек.

> гарантирую, что с моей стороны этого предложения больше
> поступать не будет :)

В противном случае... ?
:)))

← →
kaif (2003-12-15 16:18) [141]

А нельзя так сделать, чтобы постить можно было быстро, но новые ветки создавать не чаще, чем 10 штук в сутки? Или IP адреса участников так пересекаются, что это невозможно? Нужно посмотреть статистику "создания новых веток" по IP-адресам создающих. Взять максимум в этой статистике. Пусть это будет число 56. Это и так рекорд! Кто-то умудрился задать за сутки аж 56 вопросов (может группа юзеров, сидящих под одним IP)! Поставить ограничение для всех: не более 56 вопросов в сутки. Все. А внутрь существующей ветки сколько хочешь - пость. Это модератору легче контролировать. Достаточно убить ветку. Суммарно максимальное число веток, которое придется убить модератору, получится ограничеснным.
Возможно, я чего-то не знаю (какой-то технической тонкости), но по-моему это и есть логическое решение данной проблемы.
Если IP недостаточно локализует юзера, можно анализировать еще тип операционной системы, браузер и т.д.

← →
kaif (2003-12-15 16:21) [142]

Другой вариант - ограничение на число веток, создаваемых в сутки незарегистрированными участниками. И отсутствие этого ограничения для зарегистрированных. Тогда у людей будет выбор и стимул зарегистрироваться. Все равно новички как правило сразу много вопросов не задают (мне так кажется).

← →
Knight (2003-12-15 16:23) [143]

А чтоб не отпугивать, то можно вывести текст, типа
Вы указали не верный логин или пароль. Извините, но по-причине участившихся атак на форум, введена обязательная регистрация в её наипростейшей форме. Если Вы впервые на нашем сайте и не хотите пока регистрироваться, то это не помешает вам осмотреться, т.к. абсолютно все материалы остаются доступными для чтения. С уважением и наилучшими пожеланиями, администрация сайта :)

Можно эту регистрацию, даже не выносить в отдельную форму, а просто дополнить существующую форму авторизации, например, следующим образом...

если логин или пароль ошибочны { существующая форма авторизации (ник, пароль); если ник не зарегистрирован { "Данный ник на сайте не зарегистрирован, если хотите сделать его своим, то заполните следующие поля"; дополнительное поле для подтверждения пароля; картинка - антиспам; поле для ввода числа-антиспам; } }

Ну или, что-то в этом духе...

← →
nikkie (2003-12-15 16:36) [144]

>McSimm
>А по твоему мнению?
мне казалось, что в контексте данного обсуждения - главное сделать невозможным автоматический флуд со стороны любого обиженного подростка, обладающего минимальными познаниями в программировании. последний раз флуд был организован 2 строчками на ява-скрипте. даже дельфи не понадобился...

← →
McSimm (2003-12-15 18:03) [145]

> nikkie © (15.12.03 16:36) [144]
>сделать невозможным автоматический флуд со стороны любого обиженного подростка, обладающего минимальными познаниями в программировании.

Нет смысла вводить защиту от самых ленивых/неграмотных, да еще и такими средствами. Того же уровня защищенности можно добиться гораздо проще.

> последний раз флуд был организован 2 строчками на ява-скрипте.
> даже дельфи не понадобился...

Разве? Я что-то пропустил?

← →
Diablo (2003-12-15 19:01) [146]

McSimm, разреши я объясню :)

Допустим, сгенерирована пара Код-Ключ, которые могут использоваться только вместе. Код отсылается в явном виде клиенту, ключ отсылается в виде картинки. Потом они уже, соответственно, присылаются серверу (только ключ теперь в текстовом виде, естесственно) и он проверяет их валидность.
После использования пары Код-Ключ она блокируется на, допустим, пять минут. Вероятность, что она будет сгенерирована в эти пять минут для другого участника и он не сможет отправить сообщение - приближается к нулю. Злоумышленник, конечно, может неоднократно использовать заданную пару Код-Ключ, но его сообщения будут посылаться раз в пять минут. Есть минус - можно насобирать таких пар Кодов-Ключей сотню, другую и спамить. Поэтому способ другой, но также не требующий от сервера особых затрат:

при постинге генерируется пара Код-Ключ, она заносится в базу данных с временем работы в пять минут. Человек подтверждает пост и пост проходит. Флудер не сможет насобирать таких пар Код-Ключей достаточное количество, так как не успеет, время работы одного ключа с момента генерации всего лишь пять минут.
Минусы: проблема для клиентов форума. А самое главное - что всех просто задолбает каждый раз вводить число при КАЖДОМ посте - я такого ни на одном форуме не видел. Это хуже обязательной регистрации, которой не будет. Значит, не будет и картинок.

Вам (нам), давно посещающим, здесь все уже привычно. Многие здесь чувствуют себя здесь уютно.
Для новичка все не так. Ему надо освоится, прочувствовать атмосферу, узнать что здесь и как. До того как он перестанет чувствовать некоторую отчужденность нельзя его обвинять в нежелании регистрироваться.
Старожилам и уже зарегистрированным обязательная регистрация кажется совсем иной, нежели вновь приходящим.
Вы уверены, что вы остались бы на этом сайте, буде здесь всякие навороты с картинками и требования зарегистрироваться?

А потом мы говорим, что посещаемость нас совершенно не волнует :)

← →
SPeller (2003-12-15 19:44) [147]

Товарищи. Ткните меня носом куда-нибудь, или скажите хоть чем такой вариант не подходит:

Незарегистрированный ник - с данного IP адреса не более 2 постов в 1 минуту;
Зарегистрированный ник - не более 2 постов в 1 минуту с любого IP.

Поясню первое: с одного IP под незарегистрированным ником не более 2 постов (тем или ответов в форумах) в минуту.

← →
Knight (2003-12-15 19:50) [148]

>> SPeller © (15.12.03 19:44) [147]
> Незарегистрированный ник - с данного IP адреса не более 2
> постов в 1 минуту;
IP при желании можно менять на каждый пост...

А вот полное ограничение количества постов, от любых гостевых ников с любым IP это можно, по-крайней мере не придётся столько вычищать...

← →
nikkie (2003-12-15 20:42) [149]

>Diablo
>Минусы: проблема для клиентов форума.
для DMClient это не проблема, поскольку отправка поста аналогична отправке поста с веб-страницы. другие клиенты, насколько мне известно не позволяют делать посты.

← →
SPeller (2003-12-15 21:08) [150]

> IP при желании можно менять на каждый пост...

При желании. По крайней мере, сопляк уже не сможет завалить форум переделав клиент форума или "используя 2 строчки javascript"а". Затраты небольшие, а половины атак не будет.

← →
SPeller (2003-12-15 21:17) [151]

Мне вот показалось что администрация хочет до банальности простым способом защититься от вообще всех атак и чтобы все нормальные участники не испытывали малейшего дискомфорта. Я думаю, что чем-то надо жертвовать. Либо комфортом, либо нагрузкой на сервер, либо форум будет беззащитным. По-другому никак. Не получится волков накормить и овец в целости оставить. Либо как-то разумно сбалансировать эти составляющие.

С моей точки зрения мой вариант хорош тем, что:
- сопляк с нулевыми знаниями уже не сможет засрать форум, и половины если не больше атак уже не будет;
- по комфортности могут потерять только те, кто всем краем через один прокси, но для них есть выход - регистрация;
- нагрузка на сервер несущественна (по крайней мере тут никто не говорил обратного).
Недостатки:
- незащищенность от лиц, имеющих средний опыт и знания.
Ну дык, для хорошей защиты и затраты нужны соответствующие, в частности нагрузкой на сервер и потерей в удобстве придётся пожертвовать.

Вот моё IMHO.

← →
Fantasist (2003-12-15 22:38) [152]

McSimm меня окончательно убедил, что администрация форума работает и весьма компетентна. Так что действительно не думаю, что большенству из нас, не работавшим серьезно с подобными вещами, есть что предложить. Предлагаю все-таки поверить в профессионализм нашего администратора и не требовать от него объяснений на каждую нашу идею.

← →
Knight (2003-12-15 23:13) [153]

К профессионализму притензий нет... но почему отказываются от наипростейшей регистрации, так и не понял... :(

← →
Diablo (2003-12-15 23:23) [154]

Товарищи. Ткните меня носом куда-нибудь, или скажите хоть чем такой вариант не подходит:

Незарегистрированный ник - с данного IP адреса не более 2 постов в 1 минуту;
Зарегистрированный ник - не более 2 постов в 1 минуту с любого IP

Ты слышал про прокси серверы? На соответствующих сайтах их можно найти тысячи.

для DMClient это не проблема, поскольку отправка поста аналогична отправке поста с веб-страницы. другие клиенты, насколько мне известно не позволяют делать посты

Все равно придется код на картинке набирать, а это неудобно. У меня вообще картинки отключены и включать их специально для форума - неудобно.

А вот полное ограничение количества постов, от любых гостевых ников с любым IP это можно, по-крайней мере не придётся столько вычищать...

А это уже сделано.

← →
Knight (2003-12-15 23:29) [155]

> А это уже сделано.
До понедельника или после?

← →
nikkie (2003-12-15 23:41) [156]

>Ты слышал про прокси серверы? На соответствующих сайтах их можно найти тысячи.
вроде бы форум не дает постить с ip известных общедоступных анонимных прокси - используется список, взятый с тех самых соответствующих сайтов. так что найти тысячу прокси серверов, через которые удастся что-либо запостить будет весьма затруднительно.

← →
SPeller (2003-12-16 04:30) [157]

> McSimm меня окончательно убедил, что администрация форума
> работает и весьма компетентна

Претензий к администрации нет, и сомнений в компетентности тоже. Я понимаю что и мои предложения рассматриваются ею как "хе, ещё один умник нашёлся". Но пусть хотябы не сам о великий Максим, а кто-нибудь посвящённый отвечает иногда, или говорит что как в КПРФ - no comments, или что подробности - по мылу. Очень неприятно видеть форум засраным каким-нибудь уродцем, и, естественно, хочется помочь.

> вроде бы форум не дает постить с ip известных общедоступных
> анонимных прокси

Так и есть. Я сам как-то немного баловался под левым ником из-под анонимного прокси. Я не спамил. Но на второй день мой прокси уже был заблокирован.

> Ты слышал про прокси серверы?

Это, наверное, порода тушканчиков такая, гадкая. Да-да, полосатые такие.

← →
McSimm (2003-12-16 11:03) [158]

>Diablo (15.12.03 19:01)
>всех просто задолбает каждый раз вводить число при КАЖДОМ посте - я такого ни на одном форуме не видел. Это хуже обязательной регистрации, которой не будет. Значит, не будет и картинок.

Все точно.

>А потом мы говорим, что посещаемость нас совершенно не волнует :)
Именно. Мне посещаемость ничего не дает. Никому не дает. Поэтому заботиться о самой посещаемости мне нет желания.
А вот заботиться о посетителях, которые как и я когда-то приходят на этот замечательный сайт пока еще есть желание. И пока еще есть желание держать линию сайта, который волею судьбы оказался в моих руках (или на шее :)

>SPeller © (15.12.03 21:08)
Затраты небольшие, а половины атак не будет.
А их и так нет. Гораздо больше половины. :)

>Я понимаю что и мои предложения рассматриваются ею как "хе, ещё один умник нашёлся"
Нет, зря ты так. Просто большое число писем, среди которых куча советов, предложений, а также требований, просьб, благодарностей, разборок и прочего. Причем среди советов большинство действительно делитанских, "что первое в голову взбрело". Я ценю желание помочь, мне часто действительно нехватает идей или (реже) возможности обсудить идеи. Но времени мне не хватает гораздо сильнее.

← →
Дон Хуан (2003-12-16 14:20) [159]

> SPeller © (15.12.03 14:00) [121]
> Прошу меня извинить, если что-то пропустил, но в чём заключается религия необязательной регистрации?

В Библии есть стихи из Главы 22 книги Исход, гласящие:

"Пришельца не притесняй и не угнетай его; ибо вы сами были пришельцами на земле Египетской"
(Исх. 21:22)

Остаётся слова "земля Египетская" заменить на "Форум".

← →
Diablo (2003-12-16 18:54) [160]

И пока еще есть желание держать линию сайта, который волею судьбы оказался в моих руках (или на шее :)

Ну что значит волею судьбы :) Сам у Мерлина напросился :)
Вот теперь расхлебывай :)

Тем более сам понимаешь. Допустим, при приеме на работу на вопрос "в каких проектах участвовал" ответ "руководитель сайта delphimaster.ru" достойный. Так что крест, конечно, тяжелый, но он стоит того =)

← →
Knight (2003-12-16 19:08) [161]

Удалено модератором
Примечание: Offtopic

← →
Дон Хуан (2003-12-16 23:12) [162]

Удалено модератором
Примечание: Offtopic

← →
Дон Хуан (2003-12-16 23:14) [163]

Удалено модератором
Примечание: Offtopic

← →
Knight (2003-12-17 00:10) [164]

Удалено модератором
Примечание: Offtopic

---|Ветка была без названия|--- Найти похожие ветки