Как защитить номер телефона в доске объявлений от парсинга?

Question

Антон Р. @anton_reut

Начинающий веб-разработчик

Как защитить номер телефона в доске объявлений от парсинга?

В качестве учебного проекта делаю доску объявлений и я задумался как можно защитить такой вид персональных данных как телефонный номер продавца в объявлении? Ведь нельзя позволить тупо спарсить номер роботам чтобы номера потом попадали в "черные" базы для спама.

Навскидку предполагаю несколько вариантов:
1. Генерировать номер в виде картинки "на лету" через встроенные в php функции которые создают jpeg или png картинки
2. Транслировать номер через некий встроенный iframe с блокировкой копирования текста или еще как-то
3. С помощью JS как-то отслеживать поведение посетителя на странице и только если поведение соответствует шаблону давать кликнуть "показать номер".

А как сделали бы вы? Интересно какие есть еще концепции? В целом, без кодов и прочего, интересны сами подходы.

Вопрос задан более трёх лет назад
1205 просмотров

13 комментариев

Подписаться 4 Средний 13 комментариев

Сергей Соколов @sergiks Куратор тега Веб-разработка

вариант 0:
(самостоятельно) обойти популярные международные сервисы объявлений и посмотреть, какие решения по защите номеров применяются у них. Проанализировать их сильные и слабые стороны. Составить сравнительную таблицу.

Написано более трёх лет назад
Антон Р. @anton_reut Автор вопроса

Сергей Соколов, но кто ж мне покажет серверную часть как это реализовано? ) Ну а так да.

Написано более трёх лет назад
edward_freedom @edward_freedom

Антон Р., 1. Распознавание чисел с картинки отлично с этим справится.
2. Интересно, но не выход. Имуляция браузера обойдет твою любую блокировку и доберется до фрейма без проблем.
3. Записывать поведение мышки и повторить и получить номер

Написано более трёх лет назад
Егор Живагин @Krasnodar_etc

Вообще, мне пришёл на ум один забавный вариант: генерить картинку с номером, но при этом добавлять к номеру в конец одно рандомное число. На фронте стилями это число прятать. Да, номер у вас спарсят, но ... :)

Написано более трёх лет назад
Антон Р. @anton_reut Автор вопроса

Егор Живагин, учитывая что авито тупо генерит ПНГ картинку это способ еще хитрый у вас ))

Написано более трёх лет назад
Егор Живагин @Krasnodar_etc

Антон Р., ну да, получается чуть безопаснее
Но вообще, я думаю, что картинка - это ад в плане юзер-френдли, потому что нельзя скопировать номер и вставить куда нужно. Меня это очень сильно раздражает

Написано более трёх лет назад
Developer @samodum

Егор Живагин, но... что? Номер должен состоять из 10 цифр, а вы отдадите 11. И ничто не мешает отсечь последнюю цифру

Написано более трёх лет назад
Егор Живагин @Krasnodar_etc

Developer, конечно не мешает, если вы парсите пару сайтов, и контролируете своими глазами номера, которые с них поступают. А если у вас таких сайтов хотя бы несколько десятков и в каком-то небольшом проценте номеров в вашей базе другое кол-во символов - не уверен, что вы придадите этому значение.

Да и чтобы проверить, что не нужна именно последняя цифра, нужно найти откуда спарсился номер и самому сходить проверить.

Не, понятно, что всё равно есть возможность спарсить номер. Но этот метод, я думаю, достаточно сильно мешает автоматизации процесса

Написано более трёх лет назад
Егор Живагин @Krasnodar_etc

А вообще, неплохой идеей кажется проверять по заголовкам запроса/кукам/... что запрос пришёл с вашего сайта, иначе вместо картинки с номером отдавать что-то другое. Но я пока не уверен в реализации

Написано более трёх лет назад
Developer @samodum

Егор Живагин, это всё обходится легко. Referer легко подменяется, как и куки.
Знаем, плавали

Написано более трёх лет назад
xfg @xfg

Антон Р., на авито, чтобы получить картинку с номером нужно для начала собрать так называемый phone key (pkey в запросе). Код сборки этого ключа запутан и обфусцирован. Полагаю, что время от времени его еще и меняют, чтобы переодически отваливались все работающие парсеры. Конечно можно используя реверс инженеринг разобраться как он генерится, но мне лично надоело ковыряться уже на этапе профайлинга.

Я думаю, что по логам анализируют тех кто прицепился и тащит номера. Когда таких набирается критическая масса, меняют алгоритм генерации ключа, в итоге все парсеры отваливаются, а авторы должны начинать весь процесс реверс инженеринга сначала. Не все будут это делать, так как это стоит определенных ресурсов.

Написано более трёх лет назад
Антон Р. @anton_reut Автор вопроса

xfg, в смысле собирают статистику поведения и еще 100500 параметров перед этим?

Написано более трёх лет назад
xfg @xfg

Антон Р., ну да, вероятно есть внутренняя утилита, которая по определенным параметрам собирает все подозрительные запросы или что-то подобное, что показывает масштаб бедствия. В крупных компаниях всегда ведется сбор всего чего только можно, чтобы понимать, что вообще происходит с проектом.

Написано более трёх лет назад

Решения вопроса 3

7 комментариев

Рональд Макдональд @Zoominger Куратор тега Веб-разработка

... более того, он будет в виде картинки.

Написано более трёх лет назад
Рональд Макдональд @Zoominger Куратор тега Веб-разработка

BD_ l3ftoverZ!, риторический вопрос, над которым бьются спамеры всего мира.

Написано более трёх лет назад
Антон Р. @anton_reut Автор вопроса

BD_ l3ftoverZ!, написать последние две цифры текстом, и необычным шрифтом с курсивом )

Написано более трёх лет назад
orbit070 @orbit070

Антон Р., а теперь вспомните самое главное - что сервис существует для пользователя и его удобства. Если я с телефона захожу и вижу номер, то хочу кликнув на него перейти сразу в звонилку и вообще не хочу видеть извращения в виде чисел текстом. Это больше похоже на детский сад

Написано более трёх лет назад
Антон Р. @anton_reut Автор вопроса

orbit070, тогда получается никак не защитить, только оградить от самых топорных вариантов парсинга.

Написано более трёх лет назад
АртемЪ @Jump

Антон Р., это немного усложнит процесс.
А вообще цифры прописью распознавать даже проще чем числом, особенно если точно знаешь, что это цифра.

Написано более трёх лет назад
Developer @samodum

Антон Р., Защитить от парсинга невозможно. Можно только его усложнить, повысить стоимость

Написано более трёх лет назад

Комментировать

Пригласить эксперта

Ответы на вопрос 1

5 комментариев

Антон Р. @anton_reut Автор вопроса

не совсем понял метод. У меня на вашем сайте слова "показать" не кликабельны почему то.

Написано более трёх лет назад
АртемЪ @Jump

Василий Берестов,
Пока на твой сайт не натравлен специальный робот - никто и никогда просто так не распарсит не изображение, ни иные механизмы
Какие роботы??
Банальный браузер запущенный в headless режиме и скриптик на python с подключенным tesseract.

Написано более трёх лет назад
АртемЪ @Jump

Не зная соли (и в целом алгоритма создания хэша) ты не получишь в ответе email
Это работает только если есть авторизация - а когда есть авторизация на сайте нафиг вообще таким заморачиваться?

Кому нужен такой сервис объявлений, где надо свою почту сообщать для просмотра объявлений?

Написано более трёх лет назад
Северное Сияние @php666

Антон Р., что за браузер у вас и какое устройство? стили вообще не работают, судя по скриншоту.

АртемЪ,
Это работает только если есть авторизация
ээ... это всегда работает. Вы о чем вообще? зайдите по ссылкам выше.

Написано более трёх лет назад
Антон Рейтаровский @Antonchik

это 100% способ защиты от большинства парсеров и ПС.

И где же защита, если вам нужна эта ссылка на клиенте?

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

+1 ещё

Средний
Как сделано всплывающее окно с моим e-mail адресом Google, который я на этом сервере не оставлял?
- 1 подписчик
- 13 часов назад
- 102 просмотра
1

ответ
WordPress

+2 ещё

Простой
Из-за чего выдает такое на главной после переноса?
- 1 подписчик
- 17 часов назад
- 58 просмотров
1

ответ
JavaScript

+3 ещё

Средний
Какие есть способы организовать редкое добавление статей на сайт?
- 1 подписчик
- 17 часов назад
- 93 просмотра
1

ответ
Веб-разработка

Простой
Как создать сложные css-анимации как в примере?
- 1 подписчик
- вчера
- 96 просмотров
1

ответ
Веб-разработка

+1 ещё

Простой
Какой здесь используется веб приложение для просмотра vnc?
- 1 подписчик
- вчера
- 36 просмотров
1

ответ
Веб-разработка

Средний
Почему Postman выдает ошибку 403?
- 1 подписчик
- 16 апр.
- 98 просмотров
0

ответов
PHP

+2 ещё

Средний
Версии файлов на сайте отличаются от тех что я вижу через админку?
- 1 подписчик
- 15 апр.
- 109 просмотров
1

ответ
Веб-разработка

+1 ещё

Простой
Как правильно в api реализовать систему уведомлений на сайт и в тг бота?
- 4 подписчика
- 14 апр.
- 1009 просмотров
2

ответа
JavaScript

+4 ещё

Средний
Как сделать эффект закруглений как на фото?
- 4 подписчика
- 14 апр.
- 2580 просмотров
2

ответа
Веб-разработка

Простой
Быстрая загрузка баннера. Как лучше реализовать?
- 1 подписчик
- 13 апр.
- 161 просмотр
2

ответа
Показать ещё Загружается…

Веб-разработчик

Art gorka • Санкт-Петербург

от 60 000 ₽

Веб-разработка и управление IT в Sortage

Sortage • Москва

от 180 000 ₽

Fullstack PHP Developer

Smapse Education

от 40 000 до 65 000 ₽

Графический дизайнер

18 апр. 2024, в 07:58

500 руб./в час

Разработать мини-приложение Windows 7-11, Linux,Macos

18 апр. 2024, в 07:22

45000 руб./за проект

Каталог AI tools

18 апр. 2024, в 01:12

150000 руб./за проект

вариант 0:
(самостоятельно) обойти популярные международные сервисы объявлений и посмотреть, какие решения по защите номеров применяются у них. Проанализировать их сильные и слабые стороны. Составить сравнительную таблицу.
Сергей Соколов, но кто ж мне покажет серверную часть как это реализовано? ) Ну а так да.
Антон Р., 1. Распознавание чисел с картинки отлично с этим справится.
2. Интересно, но не выход. Имуляция браузера обойдет твою любую блокировку и доберется до фрейма без проблем.
3. Записывать поведение мышки и повторить и получить номер
Вообще, мне пришёл на ум один забавный вариант: генерить картинку с номером, но при этом добавлять к номеру в конец одно рандомное число. На фронте стилями это число прятать. Да, номер у вас спарсят, но ... :)
Егор Живагин, учитывая что авито тупо генерит ПНГ картинку это способ еще хитрый у вас ))
Антон Р., ну да, получается чуть безопаснее
Но вообще, я думаю, что картинка - это ад в плане юзер-френдли, потому что нельзя скопировать номер и вставить куда нужно. Меня это очень сильно раздражает
Егор Живагин, но... что? Номер должен состоять из 10 цифр, а вы отдадите 11. И ничто не мешает отсечь последнюю цифру
Developer, конечно не мешает, если вы парсите пару сайтов, и контролируете своими глазами номера, которые с них поступают. А если у вас таких сайтов хотя бы несколько десятков и в каком-то небольшом проценте номеров в вашей базе другое кол-во символов - не уверен, что вы придадите этому значение.

Да и чтобы проверить, что не нужна именно последняя цифра, нужно найти откуда спарсился номер и самому сходить проверить.

Не, понятно, что всё равно есть возможность спарсить номер. Но этот метод, я думаю, достаточно сильно мешает автоматизации процесса
А вообще, неплохой идеей кажется проверять по заголовкам запроса/кукам/... что запрос пришёл с вашего сайта, иначе вместо картинки с номером отдавать что-то другое. Но я пока не уверен в реализации
Егор Живагин, это всё обходится легко. Referer легко подменяется, как и куки.
Знаем, плавали
Антон Р., на авито, чтобы получить картинку с номером нужно для начала собрать так называемый phone key (pkey в запросе). Код сборки этого ключа запутан и обфусцирован. Полагаю, что время от времени его еще и меняют, чтобы переодически отваливались все работающие парсеры. Конечно можно используя реверс инженеринг разобраться как он генерится, но мне лично надоело ковыряться уже на этапе профайлинга.

Я думаю, что по логам анализируют тех кто прицепился и тащит номера. Когда таких набирается критическая масса, меняют алгоритм генерации ключа, в итоге все парсеры отваливаются, а авторы должны начинать весь процесс реверс инженеринга сначала. Не все будут это делать, так как это стоит определенных ресурсов.
xfg, в смысле собирают статистику поведения и еще 100500 параметров перед этим?
Антон Р., ну да, вероятно есть внутренняя утилита, которая по определенным параметрам собирает все подозрительные запросы или что-то подобное, что показывает масштаб бедствия. В крупных компаниях всегда ведется сбор всего чего только можно, чтобы понимать, что вообще происходит с проектом.

Answer 1 · 2019-08-05 11:25:08

CityCat4 @CityCat4 Куратор тега Информационная безопасность

Внимание! Изменился адрес почты!

Обычно показывают только часть номера, для показа полного номера по нему нужно кликнуть

Ответ написан более трёх лет назад

7 комментариев

Answer 2 · 2019-08-05 12:11:32

Не претендует на супер метод, но хотя обратить на это внимание можно.

У криптобиржи binance есть мобильное приложение.
Там есть капча, но капча она у них самописная.
Там надо провести фигурку до определенного места. И тогда проходит процесс авторизации или регистрации.

Если найдешь подобный скрипт или напишешь сам, то ты можешь попробовать применить у себя.
Причем сам номер показывать после прохождение капчи, отдельным запросом.

Answer 3 · 2019-08-05 12:33:25

Как защитить номер телефона в доске объявлений от парсинга?

Никак. Можно только усложнить парсинг.

1. Для этого есть всякие RuCaptcha и подобные сервисы, подключаемся, отправляем картинку, получем номер. Если не сильно замусоренно будет, то Tesseract все сделает.
2.Это что за блокировка копирования? Если уж вы покажете, то достать не проблема.
3.Тут же обнаружится, что половина пользователей ведут себя неправильно и не видят номер. А парсеры прекрасно работают.

В общем третий вариант это единственный рабочий, но пользователей будет заворачивать не меньше чем ботов.

Есть гарантированно рабочий вариант - показывать телефон только зарегистрированным пользователям. Спрашиваем у пользователя ФИО, номер телефона, регистрируем, и просим 10рублей за просмотр объявления.

как можно защитить такой вид персональных данных как телефонный номер продавца в объявлении

Сам по себе номер не является ПД, и уж точно защите не подлежит - доска объявлений как раз предоставляет услуги по публикации номера, а не по его сокрытию!

Ведь нельзя позволить тупо спарсить номер роботам чтобы номера потом попадали в "черные" базы для спама.

Просто не надо публиковать на досках объявлений телефон, для этого.

Answer 4 · 2019-08-05 15:28:49

В качестве учебного проекта не надо раздувать из мухи слона. Это первое и самое важное.
Пока на твой сайт не натравлен специальный робот - никто и никогда просто так не распарсит не изображение, ни иные механизмы. А поскольку ты не Авито, то это мнимая защита.

У меня на сайте объявлений вот так сделано по части email-адресов. Запрос уходит вида
/advert/frontend-ajax-get-email/id/110013/hash/8f3... - где последний параметр - хэш от email и соли. Не зная соли (и в целом алгоритма создания хэша) ты не получишь в ответе email, вот пример с невалидным хэшем:
/advert/frontend-ajax-get-email/id/110013/hash/8f3...

это 100% способ защиты от большинства парсеров и ПС.

Как защитить номер телефона в доске объявлений от парсинга?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт