- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Умеют.
Какой-то же способ должен быть? Cloudflare?
Если прицепились целенаправленно, то ничего не поможет.
Промежуточные итоги, если кому-то интересно.
Кратко в чем суть:
1) есть сайт на котором есть форма расчета (в ней основном выпадающие списки и нет input, textarea); html страница берется из кэша; расчет производится без перезагрузки страницы (отправка и получение через JS fetch() и другие).
2) Проблема: к одной странице постоянные обращение и получение расчетов с нескольких ай пи с периодичностью 30-60 сек на протяжении почти всех суток. Не известно или просто бот или парсинг результатов расчетов для другого сайта (если бот, то зачем разгадывает капчу). Этот бот почти 100% проходил капчи: а) сравнение рисунков; б) ввести текст со сгенерированной картинки; в) решить математический пример на сгенерированной картинке типа 3*3=? 1*?=11 и другие.
А в соседней ветке доказывают, что бот кнопку отправки не может найти на странице. Все они могут, а если целенаправленно, то неизвестно где предел.
Решил попробовать использовать вот этот совет.
И да, почитай всё же что за методы я показывал и как они работают, будет полезно даже в борьбе с людьми :)
В итоге сегодня утром запустил сайт с такими изменениями:
1) Использовал Nonce в форме (так как странице берется из кэша, то код вставлялся с помощью JS который получал из PHP файла)
2) При нажатии на кнопку отправки, данные отправляются с помощью JS и появляется еще урезанный вариант капчи - просто кнопка "Подтвердить отправку" без никаких вводов кода
3) После этого в PHP файл проходят проверки и формирование результата (результат в виде html, но теперь засунул его в оболочку json и уже JS вставляет результат на сайт), а также формируется новый Nonce
Результат пока неясный. С тех ай пи, с которых были заходы пока идут на удаленные файлы (captcha.php, index_js.php). Посмотрю что дальше будет. Если это целенаправленно делается кем-то, то наверное нужно алгоритм перестраивать, если типа браузерный бот, который действует как человек и будет переходить по кнопкам отправки, то наверное ничего не сделаешь.
Спасибо за участие в обсуждении.
1) Использовал Nonce в форме
Если бот каждый раз запрашивает форму, то nonce не поможет. Он же его получит вместе с формой. nonce от ботов, POSTящих сразу, без загрузи страниц.
Против таких ботов стоит применять honeypot, таймуауты и различные js-ловушки (это если из простого).
Если бот каждый раз запрашивает форму, то nonce не поможет. Он же его получит вместе с формой. nonce от ботов, POSTящих сразу, без загрузи страниц.
Здесь просто не известно какой код он получает со страницы. Если изначальный, то там сразу нет кода nonce, а подгружается после загрузки страницы через JS. Конечно можно сразу напрямую обратиться к файлу php, который генерирует этот код и записывает в сессию, а потом уже отправлять форму с этим кодом.
Посмотрю как будет. Этот же nonce можно и не в форме разместить, а где-то отдельно на странице. В JS потом идет обращение по id и добавить к отправляемым данным.
js-ловушки
Что это такое? Можно какой-то пример?
там сразу нет кода nonce, а подгружается после загрузки страницы через JS
Ну если бот не будет дождаться наступления этого момента, то норм.
Но не будет ли.. (если и правда такой умный бот, что загружает форму. Но это вряд ли, судя по его скорострельности)
Что это такое? Можно какой-то пример?
А вот выше ты как раз и реализовал одну из таких ловушек :) Т.е. подрузка данных по таймауту/событию.
Но ещё в общих чертах самые очевидные - изменение DOM по событию, определение наличия мыши/тапа и тп.
А вот выше ты как раз и реализовал одну из таких ловушек :) Т.е. подрузка данных по таймауту/событию.
Но ещё в общих чертах самые очевидные - изменение DOM по событию, определение наличия мыши/тапа и тп.
Спасибо за советы. Посмотрю что будет.
Ну если бот не будет дождаться наступления этого момента, то норм.
Но не будет ли.. (если и правда такой умный бот, что загружает форму. Но это вряд ли, судя по его скорострельности)
Хотел спросить Вашего совета.
Сегодня есть запросы с одного ай пи (много запросов с самого утра) - человек на сайте не проводит столько времени.
Обращения только к: 1) nonce.php (в нем происходит генерация числа и отдается для вставки в форму через JS); 2) index_js.php (файл принимает данные пост запроса, проверяет и выдает результат).
Обращения к html файлу нет, как при заходе обычного пользователя.
Я правильно понимаю, что если этот скрипт настраивается человеком и обращается прямо к php файлам, то никакой защиты от этого нет? Он просто передает корректные данный пост запросом на управляющий файл и получает результат минуя страницы сайта.
В таком случает доступ к расчетам только после регистрации может помочь?
Кстати, раньше когда расчеты были с перезагрузкой страницы и этот бот обращался к странице html, то по статистике среднее время пользователей на сайте было меньше. Теперь получается что бот заходит на php файлы, где нет гугл аналитики.
Да, на 1 страницу одной языковой версии.
Только сейчас дошло что нужно посмотреть а что он вообще передает в форме (параметры по умолчанию или другие значения).
Как Вы думаете, а если доступ к расчетам после регистрации сделать, то это остановит ботов или они и такое умеют - зарегистрироваться на сайте, войти в аккаунт и дальше продолжать?
База данных у меня однажды стала 10 гб за неделю, так как боты регистрировались, сообщение на форуме не могли оставить и регистрировали новый аккаунт.
База данных у меня однажды стала 10 гб за неделю, так как боты регистрировались, сообщение на форуме не могли оставить и регистрировали новый аккаунт.
Наверное нужно делать подтверждение регистрации с отправкой на имейл?