Обратная связь, капча и спам
Здравствуйте.
Я являюсь разработчиком приложения "Обратная связь". В последнее время нам на почту стали поступать жалобы на это приложение. Через форму идет спам. При том, что капча включена.
Вот пример http://shop.hob-art.ru/zakaz-portreta/ владелец сайта жалуется на спам (форма всплывает по кнопке "Сделать заказ"). Капча стоит, обычная, встраивается с помощью метода $wa->captcha() .
Получается, капча не защищает? Что делать в этом случае? Чем помочь клиенту?
Заранее спасибо.
23 ответа
Ну, вы ведь значение капчи в своем приложении проверяете, да?
Да =)
Хм. Надо смотреть код. Это вот это приложение? У вас никакого репозитория с кодом нет случайно? :)
P.S. Почему-то думал, что welldi это Михаил Морозов...
Михаил Морозов - и есть welldi (т.е. я).
А Надежда Гринева - наш программист. и автор обратной связи ;).
P.s. на форуме еще пара тройка найдется людей из "welldi \ welldi-studio"
Стандартную вебасистовскую капчу "прошибают" на раз. Я не знаю как это делается, но у меня в плагине комментариев эта капча тоже не спасает от слова совсем. Поэтому и пришлось делать предмодерацию.
В Вашем случаем рекомендую попробовать прикрутить Akismet. Нужный класс можно подсмотреть тут webasyst-framework/wa-apps/blog/plugins/akismet/lib/vendors/Akismet.class.php или реализовать самому. Доки там нормальные.
А есть какие-то логи серверные с обращениями, когда "прошибают"? все-таки интересно как это происходит. Я Рассылки по-быстрому вылечил от левых подписчиков.
Если честно - не анализировал. У меня на сайтах спама относительно мало и поэтому разгребать логи в поисках нужных обращения - дело достаточно утомительное =(
Сергей, а подскажите как сделали?
Подписчиков на сайте левых море ))
Капчи не прошибают брутфорсом, используются сервисы типа antigate.com с анализом капчи людьми или пишется авто распознавание под конкретную капчу.
Нужно добавить премодерацию отзывов содержащих href или http. В реальных отзывах ссылки редко ставят.
Второй вариант. Если магазин российский, то отправлять на модерацию отзывы, оставленные с зарубежных ip
На правах рекламы :)
Приложение "Метрика" позволяет анализировать действия посетителей и ботов на вашем сайте. Готов рассмотреть увеличение функционала по отслеживанию определённых действий (добавление комментария, подписка и т.д.).
Метрика тут не поможет т.к. в 70-80% случаев код страницы обрабатывается без выполнения в браузере т.е. JS код Метрики не исполняется.
Не соглашусь. Отсутствие связи по JS + выполнение определенных событий (добавление комментария) => бан по IP или автоматическое удаление комментария
P.S. Надеюсь мы оба говорим не о Яндекс.Метрике.
Ага, в итоге будут забанены все поисковые боты)) Отследить выполняется JS или нет проблематично, если он скажем отправляет AJAX запрос, то его легко эмулировать.
В приложении Метрика для Webasyst всё успешно разделяется на ботов, поисковых ботов и "людей". И я с удовольствием бы посмотрел на поискового бота, который оставляет комменты. Если такие есть, то не грех забанить. Тем более я еще и писал о варианте просто удалять автоматически такие комменты. Я на 99% уверен, что вы рассуждаете не с той колокольни.
С моей колокольни это видится проще:
- у посетителя есть событие "добавлен комментарий к товару"
- посетитель подозрительный: первый хит за сессию, не осуществляет связь с приложением Метрика, не из России и куча других параметров, даже например отсутствует заказ на этот товар.......
А вы мне говорите про AJAX и его подмену. Не конструктивно.
"И я с удовольствием бы посмотрел на поискового бота, который оставляет комменты." - есть боты проверяющие формы.
"Я на 99% уверен" - это значит Вы не уверены.
Если комментарий добавляется только для посетителя купившего товар, то никаких Метрик не нужно, кстати хорошая идея - так можно разграничить отзывы и вопросы по товару.
Речь о том, что при желании можно обойти любые алгоритмы и смысла делать такие навороты я не вижу - в 80% случаев сгодится улучшенная капча описанная мной выше или можно перейти на гугл капчу, а в остальных сработает модерация сайта.
Для того чтобы капчу не так активно распознавали стоит использовать переменное число символов, различные шрифты и фоны. Лучше всего переопределить стандартную капчу согласно выше описанным советам или же создать свой класс - наследник waAbstractCaptcha\waCaptcha.
может что то типа такого сервиса бы придумали ?!
на форумах реально помогает https://cleantalk.org
[Реферальная ссылка удалена администрацией]
в последнее время куча спама сыплется...
Запрос с сайта
Запрос с сайта
и как остановить это безобразие?! Когда разработчики сделают заплатку?
Так же очень не удобно удалять спам подписчиков !
сделайте ,чтобы было можно выбрать на странице по одному или сразу скопом удалять.
Вчера пришлось 2800 подписчиков удалять,думал мышка сломается...
Решением проблемы со спамом через форму обратной связи может послужить использование плагина Отложенная загрузка контента. При использовании данного плагина форма грузится на JS, отсутствует в исходном коде страницы, что усложнит ботам отправку сообщений.
Описание плагина настолько бредовое с тех. стороны, что не имеет смысла его даже обсуждать. Отложенная загрузка никак не поможет бороться с подобным спамом, если бот создавался под конкретный код/сайт.
как уже я уже писал переопределение настроек капчи(5-6 разноплановых шрифтов и случайный размер символов) достаточно в тех случаях когда капча распознается автоматически.
Где ты нашел ботов написанных под конкретный код/сайт? На 1% магазинов на SS?