Какие существуют методы защиты от спам регистраций?

Пришел к выводу, что captcha как защита от спама уже давно изжила себя. Картинки становятся все трудночитаемые для обычных людей, но спам программы успешно проходят данную защиту — где-то программно, где-то за счет сервисов вроде антигейт.

Сейчас работаю над защитой которая с одной стороны была бы прозрачной для обычных пользователей, с другой — отсекала спаммеров.

1. шаг 1 — проверка email (линк-активация на email) после регистрации

2. шаг 2 — проверка по спамбазам (stopforumspam.com, Akismet, TypePad AntiSpam) при валидации email'a.

3. шаг 3 — проверка по фильтрам. Суть в том, что пользователь оценивается по разным фактором каждый из которых имеет определенный вес:

а. email (почтовый, наличие цифр)

б. введенный адрес сайта при регистрации (как показывает статистика — 99 % спамботов заполняет, против процентов 10-15 обычных пользователей)

г. несовпадение домена в адресе сайта и в email

д. наличии линков в текстовых полях

е. количество регистрации с того же ip за последние 24 часа

д. цифры в имени пользователя


по результатам фильтра возможные разные методы дополнительной проверки — reCAPTCHA, проверка по телефону, форма отправки email админу и т.п. вплоть до автоматического бана и отправки в спам базы.


4. периодическое повторение шага 2 & 3 — по крону и при изменении профайла пользователя.


На этом пока все.


Вопрос — может кто-то может еще предложить какие-либо методы? Главное требование — наиболее прозрачный метод для обычных пользователей. Методы вроде «собери картинку» или «реши эту задачу» не подходят.
  • Вопрос задан
  • 4169 просмотров
Пригласить эксперта
Ответы на вопрос 9
1 — раздражает, не всегда есть возможность попасть в мыло
2 — уже лучше, но может проскочить, если мыло генерится на лету
3 — левые скрытые поля, которые не видны пользователю, но «естественны» для бота — уже хорошо, но многие боты умеют отслеживать.
Я делал так, регались все кто хочет, коменты можно писать на пятые сутки, поля при оформлении не видны в дальнейшем нигде, кроме профиля и для зарегистрированных пользователей, через пять суток проверяются комменты от пользователя, на наличие http(все остальные пользователи получают предупреждение при попытке отправить ссылку). Если обнаруживается вхождение, то удаляется сам пользователь и все его коменты, но не по айпи, так как может это всего лишь зараженный. Крон работает раз в час с таким чеком, разумно если пользователей не более 10 тысяч, потом надо что-то думать.
Еще, когда спамрепорты поисковиков работали нормально, раз в месяц составлялись письма с указанием ссылок из коментов и результатов выдачи поисковиков как подтверждение спама, сайты спамеров в итоге вылетали из индекса, сейчас уже не так реагируют как хотелось бы…
Ответ написан
@ZloiZmei
Можно сделать в форме какое-то поле, которое не нужно заполнять и стандартным названием в форме вроде mail. Кто заполнил — тот робот. Спрятать его через стили.

Я на сайте универа успешно требую ввести «3 буквы нашего ВУЗа». Вроде ещё не было людей которые не прошли, и роботов которые прошли бы :) Разве что при незнании русского языка может быть проблема, даже при отсутствии русской раскладки никто не мешает сокращение с той же страницы скопировать.
Ответ написан
@VeMax
Если аудитория позволяет, то может регистрировать через смс на телефон? По коду активируйте.
Ответ написан
@1099511627776
Пишу все что интересно и на всем на чем интересно
д. цифры в имени пользователя
А меня вот этот пункт оооооочень смущает
Ответ написан
@egorinsk
Способы, не мешающие пользователю: анализ IP запроса, проверка по черным спискам (регистарции с анонимных прокси и тора — блокируем, из стран типа Китая или IP датацентров — пропускаем, но помечаем как подозрительные). Особо стоит обратить внимание на мобильные IP и IP Оперы из Норвегии — их банить как раз не надо.

Проверка поддержки JS и Flash на клиенте (если нет, скорее всего это бот).

Анализ связей между аккаунтами (вход в разные аккаунты с одного IP с одной и той же кукой, или в похожее время например). Анализ числа регистраций во времени. Анализ поеведения пользователя после регистрации.

Ботов также хорошо ловить на заполнении полей-ловушек.

Надо понимать также, что боты бывают разные, есть такие, которые тупо ходят по всем сайтам и отправляют все найденные на них формы (эти отсекаются легко), а бывают специально разработанные под ваш сайт лучшими представителями темных шляп, с ними сложнее.

Предложенные же вами способы либо бесполезны, либо мешают пользователю, но легко обходятся спамерами, либо вообще представляют собой эпический бред (про цифры в имени).

А вообще, начните с вопроса, чем грозят вашему проекту «левые» регистрации. Почему их делают. Может, у вас требуется вход на сайт там, где можно обойтись без этого? Комментарии вполне можно оставлять без регистрации.

Если вы делает систему управления блогом и боитесь спам-ссылок, сделайте систему репутации: непроверенный пользователь не может оставлять ссылки, прверенный (активно комментирующий или одобренный автором блога — может). Проверяйте домены ссылок по базам типа akismet.

Если проект — соцсеть и вы боитесь массовой регистрации для спама, все гораздо хуже. Проекту уровня вконтакте реально помогла только привязка к телефонам, все остальные способы спамеры легко обходили. Впрочем, можно бороться со спамом, введя систему репутации, а также ограничивая взаимодействие между пользщователями-не-друзьями.
Ответ написан
EndUser
@EndUser
Если ресурс тематический, то контекстный вопрос сильно убивает китайско-индийских аутсорсеров по преодолению капчи.

Если же не тематический, а общего назначения, то… Надо думать.

Предложенное выше правило писать только на 2-3-N день, и бан для нетерпеливых — ну, мало кто читает вывески же.

Хотя если красным транспарантом, то может сработать. Нетерпеливые и нетолерантные юзвери ведь вам тоже не сильно нужны?

Если магазин, то можно загрузить человека на бакса два и с первой покупкой их вернуть взад.
Ответ написан
@digdream
не в целях рекламы скажу что после того как повесил на свои сайты графическую капчу от Keycaptcha больше не видел ни одного бота, тогда как до этого по десятку в день левых регистраций было.
Ответ написан
@MaxUp Автор вопроса
еще один паттерн для поиска спамеров — повторяющиеся пароли
Ответ написан
@1099511627776
Пишу все что интересно и на всем на чем интересно
а. email (почтовый, наличие цифр)
Ну и этот есессно тоже.
Можете еще записать проверку пользователя по номеру телефона. причем 2 способа.
1 — просьба указать телефон и вписать код который придет по СМС (весьма расточительный)
2 — генерация кода и просьба его отправить его СМСом для активации (можно немножко отбить деньгу)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы