C, PHP, VB, .NET

Дневникът на Филип Петров


* Honeypot captcha

Публикувано на 01 септември 2009 в раздел ОСУП.

Напоследък в блоговете се наблюдава сериозна битка за територия между две технологии - askimet и captcha. Askimet не е нова и кой знае колко иновативна технически технология - събира статистики от стотици хиляди сайтове и на базата на тях преценява кой коментар в блог е спам и кой не. Така например действа и филтърът за Outlook - SpamBayes. На другия фронт стои captcha - технология, за която вече писах в предишна статия. Тя не се позовава на никакви статистики - тя разчита на чисто технологично решение на проблема.

Наскоро прочетох малко статистики за captcha и нейния ефект върху бизнеса. Според това скромно социологическо проучване има вероятност да изгубите около 3.2% от реалните коментари при използването на Captcha срещу алтернативният метод. Тук веднага бих дал и формулата според която да изчислим "дали да използваме Captcha или пък друга услуга като Askimet". Когато стартирате подобен бизнес трябва да прецените кое от двете е с по-голяма икономическа тежест за вас:

  • Загубата на 3.2% потенциални клиенти - captcha;
  • Загубата на пари при даване на заплата (или закупуване на платена услуга) за модериране на изпуснат spam и "false positive" коментари.

Моето скромно мнение казва, че всичко зависи от големината на бизнеса. Колкото по-големи са печалбите и се увеличава трафика - толкова повече captcha губи смисъл. С други думи един естествен ход на един бизнес ориентиран блог би тръгнал от ръчно модериране от собственика и използване на филтри (това е моментът, в който блогът не е много популярен и все още не се радва на сериозен интерес - като моя например), през слагане на captcha (когато собственика на блога започне да изпитва затруднение в модерирането на коментарите), до премахване на captcha и връщане към филтри с платен персонал за контрол (когато приходите са достатъчни, за да бъде оправдана такава заплата).

Междувременно през страницата със статистиките попаднах на много интересна идея, която впрочем не е кой знае колко нова - honeypot captcha. Накратко идеята е да вкарате допълнително поле във вашите HTML форми, което обаче е скрито чрез използване на CSS. По този начин ботовете биха попълнили това поле с някаква информация, докато потребителите - не (понеже не го виждат).

Смятам тази стратегия за изключително добра при използването на популярен софтуер. Ако например използвате WordPress, то спокойно можете да го приложите към коментарите на блога си, като например направите някое от стандартните полета (например "website") скрито с honeypot captcha. Естествено е нужно да бъдете уникални в конкретната реализация.

Когато става дума за частен продукт обаче тази техника не е приложима. Простата причина е, че ботовете тъй или иначе не знаят структурата на системата ви за коментари/заявки. При частните продукти винаги спам атаките са съставени ръчно, тоест атакуващия няма да се "хване в капана".

Все пак "honeypot catpcha" (което всъщност няма нищо общо с captcha) заслужава нашето внимание. Бих препоръчал тази техника на програмистите на средноголями и голями популярни сайтове използващи стандартни платформи.

П.П. В статията говорих главно за "блогове" като най-засегнати от спам софтуерни продукти, но всичко казано тук е валидно за всички видове софтуер.

П.П.2. Приятел разшири темата като предложи дори "скрита captcha". Това според мен е спорен елемент. Не съм съвсем сигурен, че ботовете са чак толкова напреднали, че да търсят уязвимости в нестандартни форми. По-склонен съм да мисля, че ботовете атакуват само стандартен софтуер. Да, на такъв бихте могли да скритете стандартната captcha :)

Задача: Реализирайте HTML форма с HoneyPot captcha чрез използване на CSS, JavaScript или друга функционалност.

 



4 коментара


  1. Аз съм един 66 годишен дядо. Внукът преди три години ме запали по компютрите купих си един малък такъв и въпреки, че с английският съм като пате със железница се научих малко да работяс него.Та преди две години внукът ме вкара в замунда торентите откъдето да си тегля филми и други новини, музика и т.н.Там в тези торенти се появяват едни новини статиии за които човек може да прави коментари. Преди един месец и аз не разбрах най отдолу където пише прати коментар се появи следното словосъчетание Type the two words:
    и празен правоъгълник където трябвало да поставя тези думи. Значението им разбрах от преводача на гугъла. Молбата ми е как мога да се оттърва от това нещо за да мога да правя коментарите си, считам че поставянето на такива неща е дискриминация.

  2. поправка значението на това английско словосъчетание разбрах от преводача на гугъла.Не разбрах и по какъв начин това английско словосъчетание се появи на там където пише изпрати

  3. :)

    Здравейте г-н Николов,

    Аз нямам нищо общо със "Замунда" и не мога да ви помогна с въпроси свързани с тях.

    Иначе поставянето на "такива неща" обикновено се прави, за да бъдат спрени компютърни машини (ботове) от писане на автоматични съобщения във форумите.

Добави коментар

Адресът на електронната поща няма да се публикува


*