Autor: Wojciech Kocjan
Podczas prelekcji zaprezentuję metody zabezpieczania formularzy, for dyskusyjnych i komentarzy przed robotami spamerskimi. Będzie nieco o charakterystyce i celach ich działania, oraz o tym, jak działają przypadki z życia wzięte. Przedstawię przegląd rozwiązań, które blokują spam, a także kilku technik, które można zastosować.
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Ochrona witryny przed spamem
1. Ochrona witryny przed spamem
PHPCon, 21-23.05.2010
1 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
2. Spam na stronie?
Definicja problemu
Niechciane wiadomości (e-mail, IM, spam w wyszukiwarkach),
Początki spamowania witryn:
Zbieranie adresów e-mail,
Księgi gości - zwiększanie Link Popularity.
Wypełnianie formularzy:
Witryna jako kolejne medium do „spamowania”.
2 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
3. Problemy ze spamem
Dlaczego trzeba z nim walczyć?
Niezrozumiała treść dla użytkowników:
Często linki do stron niebezpiecznych (wirusy, phishing),
Czas na moderację ,
Zużycie transferu (blokada, koszty),
Spowolnienie witryny,
Strata: czasu, pieniędzy i odwiedzających.
3 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
4. Trzeba walczyć ze spamem.
Jak?
4 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
5. Najskuteczniejszy sposób
Wyłączyć co się da...
Wyłączyć komentarze,
Wyłączyć fora dyskusyjne,
Wyłączyć formularze,
Wprowadzić konieczność rejestracji,
Którą boty i tak ominą...
Moderacja.
5 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
6. Analiza nagłówków HTTP
Blokada podejrzanego ruchu
Adres IP (REMOTE_ADDR),
Przeglądarka użytkownika (USER_AGENT),
Strona odsyłająca (HTTP_REFERER),
Porównanie z danymi, używanymi przez roboty spamerskie,
Czarne listy adresów IP.
6 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
7. Bad Behavior
Skrypt analizujący nagłówki HTTP
Analizuje nagłówki HTTP:
Nie analizuje treści żądań,
W razie wykrycia spamu wysyła 4xx.
Prosta instalacja, integracja z popularnymi systemami,
Open Source (GNU GPL),
Miliony odsłon dziennie, niewielki margines błędu.
7 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
8. Analiza przesłanych danych
Jak ją prawidłowo wykonać?
Sprawdzanie danych wejściowych:
Długość pól,
Poprawność typów zmiennych,
Specyficzne pola (NIP, PESEL, kod pocztowy etc.).
Filtr na popularne „spamerskie” słowa,
Liczba linków w treści.
8 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
9. Aplikacje anty-spamowe
Cechy wspólne
Architektura klient - serwer,
Szereg testów:
Czarne listy adresów IP,
Listy podejrzanych słów,
Test JavaScript,
Czas od wyświetlenia strony do wypełnienia formularza.
9 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
10. Akismet
Cechy systemu
Najbardziej popularny na świecie:
Wykrywa 5 milionów spamu dziennie,
Łącznie zablokował 16 miliardów,
83% badanej treści to spam.
Łatwość integracji (Wordpress),
Klucz API - darmowy tylko do niekomercyjnych zastosowań.
10 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
11. Sblam!
Cechy systemu
Projekt polski:
Dostosowanie do naszego języka.
Analiza danych trwa ok. 1 sekundę,
Otwarty kod źródłowy:
Możliwość postawienia własnego serwera,
Klucze API do statystyk.
11 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
12. CAPTCHA
Jak zniechęcić użytkownika do rejestracji...
Losowe znaki w postaci graficznej,
Często nieczytelne,
Łamane przez boty spamerskie (OCR),
Lepsze rozwiązania:
Test matematyczny (2+3 ?),
Proste pytanie.
12 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
13. CAPTCHA
Kot czy pies?
13 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
14. Test matematyczny
Proste zadanie do rozwiązania
14 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
15. Formularze kontaktowe
Niebezpieczeństwo użycia mail()
mail(‘admin@phpcon.pl’, $temat, $tresc, ‘Reply-To: $nadawca’);
Paraliż serwera poczty,
Pojawienie się na czarnych listach IP,
Dziury w popularnych systemach CMS:
Brak aktualizacji,
Niesprawdzone pluginy.
15 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
16. Podsumowanie
Jak wygrać walkę ze spamem
Analiza nagłówków HTTP (Bad Behavior),
Sprawdzanie poprawności danych wejściowych,
Analiza danych pod kątem SPAMu (Sblam!):
Analiza logów.
Moderacja w razie niepewności,
Efekt: Problem rozwiązany.
16 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl
17. Dziękuję za uwagę
Pytania?
Blog.Weeby.pl
Weeby.blip.pl
17 /17
Ochrona witryny przed spamem Wojciech Kocjan / Weeby.pl