Hogyan védekezzünk a spam botok ellen?

[ghost]

A mostain weblaboros spam-es problémát elkerülendő gondoltam arra, hogy jó lenne valami védelem a spam botok ellen. Egyelőre két megoldás jutott eszembe, az egyik hogy captcha-hoz kötnénk a regisztrációt, a másik, hogy fellőnénk valamit, ami figyeli a tartalmakat, és pl tartalom ismétlődés, URL ismétlődés, ilyesmi alapján tiltana vagy jelezne a moderátoroknak. Igazából ezt az issue-t brainstorming-nak szánom ebben a témában, mert ezek nyilván elég kezdetleges ötletek, és mert gondolom a Drupal is biztosít valamilyen védelmet ilyen téren, vagy pluginekkel esetleg megoldható a dolog.

[Pepita73]

Regisztrációnál captcha mindenképp, ezen kívül szerintem valami okos POST/time értékkel kéne figyelni és x időre bannolni, ha túllépi. A tartalomfigyelés tippre nagyságrendekkel nehezebb. WL-ből kiindulva a time lehet 1-2 perc, a POST mondjuk 3-5. Amilyen gyorsan ember már nemigen commentel. Ez is hasonló belenézős, mint a #21 .

[Endyl]

Van modul pl recaptcha-hoz (meg vannak persze sima captcha és honeypot modulok is, ha nem akarunk a nagy G-vel közösködni), vagy akár a github-os bejelentkezés ötletével is el lehet játszani (erre is létezik pár modul), ha úgyis fejlesztőknek szól az oldal. Esetleg a kettő kombinációja is jó (mármint be lehet lépni jelszóval, amit captcha véd, vagy githubbal), hogy ha álláshirdetéseket is akarunk majd megjelentetni, akkor a HR-eseknek ne kelljen github accountot regisztrálni :D

[ghost]

@Pepita73 A ban szerintem túl szigorú ilyen time limitekre, szerintem jobban járnánk, ha catpcha-t hozna fel olyankor is, és/vagy a moderátorok figyelmébe ajánlaná az illetőt a rendszer. Én pl már futottam bele olyan oldalba párszor, ami letiltott a böngészési szokásaimnak köszönhetően. Én ugyanis meg szoktam nyitni külön tab-ban 10-20 aloldalt, aztán azokat járom végig, nem egyesével nézem ugyanabban a tabban a dolgokat. Ez mondjuk GET limit volt, nem POST.

[ghost]

@Endyl Szerintetek lenne értelme elkülöníteni a kettőt? Mármint hogy HR és dev account?

[Endyl]

@inf3rno Én előbb hajtanám a HR-est is githubra, minthogy a jogosultságokat leszámítva külön accout típusokat vezessek be :D

[ghost]

@Endyl Volt szó róla, hogy lehet, hogy lesznek fizetős hirdetések, vagy VIP accountok, amiatt gondoltam, de felhasználói csoportokkal is megoldható később ugyanaz, úgyhogy ja, nem volt egy jó ötlet.

[ghost]

Szerintetek mi legyen ezzel? Ha sikerülne pontokba összeszedni, hogy milyen módosítások kellenek, akkor lehetne egy tracking issue-t nyitni a témában. Vagy zárjam le, aztán majd később úgyis újra előkerül?

[Endyl]

Szerintem ezt lehet majd zárni. Viszont kellhet egy CAPTCHA modul választás + telepítés issue, és ha akarunk mondjuk egy GitHub SSO lehetőséget, akkor annak is.

Közben gondolkoztam azon, (amit nem feltétlenül tartok jó ötletnek, inkább csak gondolatébresztő), hogy lehetne olyan is, hogy ha egyszerűen megoldható, hogy aki GitHub accounttal lép be, az küldhet be mindenféle tartalmat, aki meg nem, az alapból a majdani "hirdető" csoportba kerül, és csak jóváhagyás után küldhet be csak hirdetést. Vagy akár egy az egyben le lehetne tiltani a jelszavas regisztrálást, és ha majd jönnének a hirdetők, kitalálunk rá valamit :D

[ghost]

Captcha témához: nekem nincs rálátásom, ez a koreai szemét hogy kerül fel a weblaborra, ti biztosak vagytok benne, hogy botok "munkája" es nem humanoidok kezét dicséri? Mert utóbbi esetben egy sima captcha nem lesz akadály, valami olyan kellene, amihez nem árt némi nyelvismeret. Esetleg olyan megoldás, hogy alapjáraton csak magyar, esetleg EU-s címekről lehet regisztrálni, máshonnan csak moderátori jóváhagyással?

[Endyl]

Szerintem bot (bár a beküldések időzítésénél többet én sem látok). De ha valami távolkeleti sweatshopból küldik a spamet, azoknak is jobban megéri, ha nem kell captcha-val tökölniük (gondolom őket a beküldött tartalom darabjáért fizetik, de az is lehet, hogy nem). Ha meg tényleg (D)DoS-ról van szó, akkor kell csak az IP kesztyűt felvenni, mert egyébként szerintem túl könnyű proxyval, vpn-nel kijátszani.

[Pepita73]

Egyetértek @Endyl, szerintem is botok. Ezen majd finomítunk, ha kint van élesben a cucc és szükséges.  Elnézést kérek, a mai napom is túl hosszú lett, várhatóan holnap du vagy valamikor szombaton tudok aktívabb lenni.

Üdvözlettel: Horváth Péter

(Mobilról)

[ghost]

Oké, akkor ezek szerint egyelőre nem lesz duplikált tartalom szűrés, összehasonlítás, stb. Egyébként úgy rémlik, hogy egy komolyabb spam filter úgy működik, hogy összeszámolja, hogy melyik szóból mennyi van a szövegben, aztán az eredményt átküldi egy betanított neurális hálón, ami megmondja a szavak gyakorisága alapján, hogy spam e vagy sem.

[ghost]

Nem igazán tudom, hogy most status:fixed menjen e rá, mert ugye ez csak discussion. Mindenesetre most lezárom így.

[Endyl]

Szerintem, ha egy kérdést kellően kitárgyaltunk, akkor mehet fixedre. Ha valaki mégsem ért egyet, akkor újranyitja és tageli.

[ghost]

@Endyl Oké. Csak azért volt kérdés, mert "PR, mergelve, stb." van kiírva a label-nél, azt meg elég nehéz megcsinálni egy kérdéssel :-)