ספאם -- הצלחה קטנה...

ב־יום חמישי, 2 באוגוסט 2007, מאת ארתיום; פורסם תחת: אינטרנט, פיתוח, תכנה ומחשבים, ספאם; ‏2 תגובות

לפני מספר ימים הפעלתי מנגנון אנטי-ספאם מאוד פשוט שבנה טופס הגשת הודעות דרך JavaScript, למעשה סקריפט קצרצר היה אחראי על יצירת הטופס. השיטה יכולה להיות יעילה נגד ספאמרים שמפענחים דף HTML ונמנסים לשלוח זבל לטפסים. ההנחה היא שרוב הספאמרים לא מממשים שפת JavaScript. וזאת הייתה הנחה נכונה לרוב. הפתרון הזה הוריד כמות הודעות זבל מכ-18 הודעות ביום לכ-4 שמהווה הצלחה בפני עצמה... אבל זה לא הספיק לי.

כיצד הספאמרים האלו מגיעים אלי אם הם לא מפעילים JS? פשוט מאוד. בכל הפורומים/בלוגים קיימות כתובות סטנדרטיות לצורך ביצוע post. לכן, אין שום צורך בפיענוח הטופס. מספיק רק לשלוח זבל לכתובת הזו. מצד שני, האם זה חייב להיות סטנדרטי? מה אם כל מנהל פורום, בלוגר או מפעיל מערכת תוכן כלשהי ישנה את כתובת הפוסט באופן אקראי לדוגמה ל-cms-post-8245141-content.php כאשר המספר הוא מספר אקראי שנקבע לכל התקנה. כתובת הפוסט הזו תייוצר ע"י java script בתוך הדפדפן. לכן, כל ספאמר יהיה מחוייב להפעיל מנוע JS על מנת לקבל את הערך של הכתובת.

התוצאה -- מאז שהפעלתי את המנגנון הודעת זבל אחת לא עברה את המחסום הזה.

השאלה היא האם השיטה הזו ישימה ביותר מנקודה אחת בודדת? הרי אם JS שמייצר את המספר של כתובת ה-post יהיה סטנדרטי, אז ספאמרים יכולים ללמוד את השיטה הסטנדרטית ולקבל בקלות את הכתובת. לכן, כל ערכת נושא, חייבת להשתמש ב-JavaScript פשוט משלה, או אולי לייצר את הסקריפט באופן אקראי -- להכניס אותו למקום אקראי בדף HTML תחת שם אקראי, אולי אפשר גם להוסיף עוד כמה כתובות מזוייפות. כך הספאמר יצטרך להתאים את עצמו לכל ערכת נושא או אפילו לממש JS לפחות באופן חלקי, שזו משימה שכבר דורשת משאבי פיתוח רציניים.

טוב, אולי זה פתרון... עד שספאמרים יממשו JS או שפשוט הנושא יוסדר בחקיקה והם יתחילו להיכנס לכלא או לקבל קנסים ענקיים (אמן).

תגובות

גילפ, ב־02/08/07 22:51

ספאם מבוסס על נפחים, ולא על יעילות, לען הפתרון שלך אלגנטי. ספאמר לא ישקיע שניה של עבודה לפתור בעית משלוח נקודתית. מכאן גם האפקטיביות של SPF בדואר האלקטרוני. ספאמרים שולחים הודעות בנפחים של עשרות ומאות אלפים לקהל לא ממוקד. אובדן של כמה אלפי הודעות היא חסרת משמעות עבורם. ניתן אולי להרחיב את הפתרון שלך וליצר מספר לכל Session. אבל למה למהר? כרגע אתה זה שמוביל במרוץ.

ארתיום, ב־03/08/07 07:53

ראיתי פתרונות מבוססים על Session (בפרט בלוגלי משתמש בהם). אני הפעלתי פעם SpamBam שהפעיל פתרון כזה. אבל הייתה איתם בעיה, בגלל שאמורה להיות התאמה בין session לבין מספר היו מקרים של ריענון או עוד כל מיני מקרים קיצוניים שבהם האורחים לא הצליח לשלוח הודעה.

אותו סיפור עם Aksimet

מבחינתי פתרון שמונע מאדם אמיתי אחד לשלוח הודעה פסול.

הוסף תגובה:

 
 כתובת דוא"ל לא תוצג
 

ניתן לכתוב תגובות עם שימוש בתחביר Markdown.

חובה לאפשר JavaScript כדי להגיב.

דפים

נושאים