Защита форума от автоматического спама.

Последнее время алгоритмы автоматического спама форумов стали очень эффективными.

Боты очень эффективно автоматически распознают защитные капчи и заспамливают форумы.

Давайте обсудим способы борьбы со спам ботами форумов.

Перечислю известные мне способы защиты от автоматического спама форумов.

1) Добавление невидимых полей в форму отправки сообщений.

Добавляем в форму невидимое поле

<INPUT TYPE="text" class="notvis" NAME="site">

В стили добавляем

<style type="text/css">

<!--

.notvis {visibility: hidden;overflow:hidden;height:1px;}

-->

</style>

То есть мы создали поле ввода, которое пользователь не видит из за настройки стиля. А автоматические боты видят и заполняют данными.

При обработке данных проверяем заполнено ли поле "site". Если заполнено, то это бот. Это довольно эффективный способ защиты, который отсеит много автоматических ботов гуляющих по интернету.

2) Установка COOKIE помощью джаваскрипт.

Добавляем на страницу сайта например, такой код

<script type="text/javascript">document.cookie="notbot=1;path=/";</script>

Который установит пользователю куку.

При обработке формы проверяем наличие куки в переменной $_COOKIE['notbot']

Большинство спам ботов не выполняют джаваскриптов и не поддерживают куков. 99% браузеров пользователей джаваскрипты и куки поддерживают. С помощью этого метода можно отсеить почти всех спам ботов.

3) Не показываем спамеру, что его сообщения удаляются. Нужно ввести спамера в заблуждение и усложнить ему жизнь, что бы ему сложнее было понять смог ли он преодолеть антиспам защиту. Если мы сразу будем сообщать спамеру, что его сообщение заблокировано антиспам защитой, то ему будет очень просто искать причины блокировки спам сообщений. Можно делать например так. Нужно не сообщать спамеру, что сообщение или экаунт не создан. Сообщение и экаунты спамера нужно добавлять в базу, но помечать их в базе данных специальным полем, что это спам. Раз в 5 минут можно удалять все спам сообщения автоматически. Или можно удалять их раз в сутки, и не показывать их в списке сообщений форума. Этот способ творческий и нужно тщательно его продумывать, что бы обмануть спамера и не запутать нормального пользователя.

4) Создание хорошей капчи. Сейчас алгоритмы автоматического распознавания капчей настолько эффективны, что распознают почти все стандартные капчи даже лучше человека.

Вот примеры капчей распознаваемых автоматически

Некоторые из этих капчей даже человек не может различить, а боты распознают.

Но хорошую капчу, не распознаваемую ботом и легко читаемую человеком все равно можно сделать, если следовать следующим советам.

1) В капче нужно рисовать все символы и помехи одним цветом. А не разными цветами. Разные цвета усложняют восприятие человеком, а боту они наоборот помогают, так как бот по разным цветам может отделять друг от друга символы и помехи.

2) Помехи в виде случайных точек или линий (тоньше символов) бесполезны. Они легко удаляются простейшим фильтром. Например, удалить все пикселы, вокруг которых закрашенных пикселов меньше некоторой константы.

3) Высота, ширина каждого отдельного символа, позиция по вертикали и горизонтали для каждого символа должны меняться на случайную величину. Это существенно затруднит распознавание.

4) Нельзя использовать стандартные шрифты. Каждый символ нужно нарисовать 100 (или больше) разными способами и использовать любой вариант написания символа случайно. Вот, например, небольшой фрагмент вариантов цифры 5, которые я использую.

Для каждого символа у меня создано сотни вариантов написания. Хакеру придется их все найти, что бы сделать автоматическое распознавание. А это кропотливой работы на месяцы.

5) Я не использую поворот отдельных символов на случайный угол, так как при повороте портится внешний вид символа. В моей капче некоторые символы все равно случайно повернуты, так как используются сотни вариантов написания каждого символа, в том числе написание с поворотом. При желании случайный поворот отдельных символов можно добавить, но это несколько исказит символы и они будут хуже читаемы человеком.

6) Нужно рисовать только контур символов. А тело символа делать равным по цвету фону. Это сильно затруднит автоматическое распознавание символа, так как боту сложно будет отличить тело символа от фона.

7) Соседние символы должны обязательно накладываться друг на друга. При случайном добавлении очередного символа нужно проверять, что бы он налагался на соседний. Если он не перекрывает соседний, то нужно сдвигать его ближе к соседнему до наложения.

Руководствуясь этими советами я автоматически генерирую такие капчи.

Хочу узнать у пользователей этого форума мнение, нужен ли им сервис генерации таких капч.

Например, это могло бы выглядеть так.

1) Я на своем сайте выкладываю 100 наборов случайных капчей. В каждом наборе в архиве по 1000 капчей (1000 картинок gif) и текстовый файл в котором хранится md5 сумма нарисованного на каждой капче числа.

2) Владелец форума скачивает у меня любой на свой выбор набор из 1000 капчей и загружает на свой сервер. Когда ему нужно показать пользователю случайную капчу, он показывает одну из 1000 случайную капчу. Ответ пользователя пропускает через хэшфунуцию MD5 и сравнивает результат с MD5, который должен быть.

3) Раз в сутки или неделю или месяц, владелец форума может автоматически или вручную закачивать себе на сайт другой случайный набор капчей.

4) Я регулярно буду обновлять на своем сайте наборы случайных капчей, что бы спамеры не заносили их в свои базы.

Преимущество этого способа в том, что владельцу сайта не нужно самому генерировать капчи, и к спамеру не попадет полный набор вариантов написания каждого символа. Что теоритечески позволило бы спамеру создать автоматическое распознавание. Спамеру придется вручную создавать базу вариантов написания каждого символа.

В этой теме приветствуется описание новых эффективных способов защиты от спама форумов и отзывы о предложенных мной способах.