07/01/2012
kuzmin:
Аякс запрос чем то отличается от поста или гета?
Аякс запрос чем то отличается от поста или гета?
Используется тоже метод post, но не голый php...
07/01/2012
wayfarer:
Фильтрация автоматом на предмет урлов, хтмл и бб кода на 99% убивает спам даже без капчи
Фильтрация автоматом на предмет урлов, хтмл и бб кода на 99% убивает спам даже без капчи
Мы вырезаем их сразу, т.е. если спам и попадает, то чисты текст, который потом в ручном режиме модерится.
8xes:
Используется тоже метод post, но не голый php...
Используется тоже метод post, но не голый php...
Пост на "голом" php отличается от поста на аяксе? Очень интересно чем?:) Давайте не будем развивать тему. Аякс убьет простенькие парсеры, но от "серьезного" подхода не спасет.
07/01/2012
Цитата:
А смысл? Там все равно один треш остается, мы сразу сносим все сообщение
Цитата:
Фильтрация автоматом на предмет урлов, хтмл и бб кода на 99% убивает спам даже без капчи
Мы вырезаем их сразу, т.е. если спам и попадает, то чисты текст, который потом в ручном режиме модерится.Фильтрация автоматом на предмет урлов, хтмл и бб кода на 99% убивает спам даже без капчи
07/01/2012
wayfarer:
А смысл?
А смысл?
Одно время конкуренты ссылки оставляли в нормальном окружении. Т.е. без ссылки вполне нормальный текст отзыва:)
Кстати, последнее время пошли тонны текста и на русском и на английском без ссылок и еще каких-то тегов. Просто текст, иногда бред, иногда осмысленный (не тематический). Зачем не пойму...
07/01/2012
Кстати, последнее время пошли тонны текста и на русском и на английском без ссылок и еще каких-то тегов. Просто текст, иногда бред, иногда осмысленный (не тематический). Зачем не пойму...
Примитивные спамботы которые пишут урлы в поле для урла. Тексты типа "Very nice site. It's wonderful! Add memories."? От этих тоже существует защита
07/01/2012
kuzmin:
Аякс запрос чем то отличается от поста или гета?
Аякс запрос чем то отличается от поста или гета?
Конечно отличаются. Аякс требует наличия JavaScript и далеко не все боты умеют с ним работать.
И хитрости могут быть новые, например:
кнопка "отправить" ведёт вникуда (неактивна) и покрашена в серый цвет, пока форма не заполнена. После заполнения формы Аяксом код кнопки "отправить" подменяется на рабочий. Посетитель это и не заметит даже, ведь аякс работает в фоновом режиме без рефреша страницы.
А бот не найдёт скрипт обработчик, потому что боту не хватит мозгов догадаться что нужно сделать на странице, чтобы кнопка стала активна (код погрузился).
kuzmin:
Аякс убьет простенькие парсеры, но от "серьезного" подхода не спасет.
Аякс убьет простенькие парсеры, но от "серьезного" подхода не спасет.
Серьёзный подход применяется на серьёзные ресурсы типа Яндекса, Вконтакте и т.п. А то что дрюкают рядовые сайты это парсеры и постеры, которые дай бог умеют подтасовывать юзер агента и с куками работать. А если ещё и JS понимают, то вообще супер!
Как они справятся с аякс хитростями я себе ума не приложу. Ну разве что сам Терминатор вам СПАМ-ит )))
P.S. Правильно кто-то выше написал, что подавляющая часть СПАМ баз собирается тупо из Гугля. Так вот форма, которая появляется Аяксом после нажатия кнопки "НАПИСАТЬ ОТЗЫВ" не попадёт даже в СПАМ списки, потому что она не проиндексируется.
07/01/2012
2Figu
Отличие только в формирование самого запроса, а в результате это будет один и тот же post состоящий из url и параметров.
Под серьезным подходом я имел ввиду:
У магазина 10 000 товаров, почему бы в ручную не потратить 1 минуту, что бы узнать как формируется этот пост для добавления отзыва и после автоматом уже его запустить для всех страниц.
Все равно толку от бомбардирование "помоек" нет смысла, а нормальных сайтов не так много. Относительно, конечно:)
Отличие только в формирование самого запроса, а в результате это будет один и тот же post состоящий из url и параметров.
Под серьезным подходом я имел ввиду:
У магазина 10 000 товаров, почему бы в ручную не потратить 1 минуту, что бы узнать как формируется этот пост для добавления отзыва и после автоматом уже его запустить для всех страниц.
Все равно толку от бомбардирование "помоек" нет смысла, а нормальных сайтов не так много. Относительно, конечно:)
07/01/2012
Цитата:
Под серьезным подходом я имел ввиду:
У магазина 10 000 товаров, почему бы в ручную не потратить 1 минуту, что бы узнать как формируется этот пост для добавления отзыва и после автоматом уже его запустить для всех страниц.
Все равно толку от бомбардирование "помоек" нет смысла, а нормальных сайтов не так много. Относительно, конечноSmile
Под серьезным подходом я имел ввиду:
У магазина 10 000 товаров, почему бы в ручную не потратить 1 минуту, что бы узнать как формируется этот пост для добавления отзыва и после автоматом уже его запустить для всех страниц.
Все равно толку от бомбардирование "помоек" нет смысла, а нормальных сайтов не так много. Относительно, конечноSmile
Это бессмысленно, слишком трудозатратно и нормальные сайты нормально модерируются. Исключения составляют конечно СС мыло яндекс и подобные, но там боты и задачи другие решают. С целью пихнуть ссылку для робота гугла или яндекса рулят ковровые бомбометания, иногда забавно наблюдать как робот несколько месяцев долбится в форму, а заполнить ее не может. А в СС уже ссылки пихают чтобы людей собирать, совершенно разные задачи и роботы таким заняты совершенно различные
07/01/2012
kuzmin:
У магазина 10 000 товаров, почему бы в ручную не потратить 1 минуту, что бы узнать как формируется этот пост для добавления отзыва и после автоматом уже его запустить для всех страниц.
У магазина 10 000 товаров, почему бы в ручную не потратить 1 минуту, что бы узнать как формируется этот пост для добавления отзыва и после автоматом уже его запустить для всех страниц.
Это крайне редкий случай.
У нас защита от таких деятелей в виде 1 файла в который записывается IP и время. Если человек написал отзыв или сообщение в суппорт, следующий пост он может сделать не ранее чем через 1 минуту, а особо настойчивые уходят на IP Tables сервера в бан на 24 часа.
При 20000 посещаемости в день в IP Tables улетает 2-3 IP адреса в день (любители пофлудить, подурить, или просто зажать F5 зубочисткой).
Система организовывается и отлаживается за 1 рабочий день на файлах (да, ничего с HDD не случается), на файлах RAM диска или на Мэмкэш подобных приблудах. Главное на MySql не делать.
Кстати и 404 страницу рекомендую анализировать. Туда валятся пачками роботы сканирующие ваш сайт на уязвимости (почти каждый день какая-нибудь сволочь сканирует). 5-10 запросов подряд на 404 и смело в бан IP можно закидывать. Иначе они каждый день сервер насилуют своим сканированием и тысячами мусорных запросов.
Кто на слово не верит, вот кусочек лога прям сейчас заскринил:
http://dl.dropbox.com/u/37792987/robots.PNG
Этот сайт мы ещё НЕ ЗАПУСТИЛИ даже, никаких защит, ничего. И уже 5 Мб error лог с 404 ошибками, я аж удивился когда посмотрел. Роботы свой нос подтачивают.
07/01/2012
Все очень от деятельности (вашей) зависит. Если бы все так однозначно было:(
К примеру, 5-10 запросов с 404 ответом. Пусть они даже будут поиск известных дырок. На сколько в бан адрес заносить? 5 мин, 1 час, день, навсегда? Да и динамические ip же ни кто не отменял...
У нас не редки случаи, когда звонящий говорит, что типа заказ не может сделать, все 403 вылетает (от modsecurity или evasive). Я все не мог понять почему? А потом осенило, скорее всего то ли троян у него то ли еще что-то. И попробуй это сказать ему, еще и обложит типа ламеры магазин сделать не можете нормальный.
P.S. Кстати, специально посмотрел скорость добавления англоязычных "отзывов" от 30 минут до 1,5 часов:)
К примеру, 5-10 запросов с 404 ответом. Пусть они даже будут поиск известных дырок. На сколько в бан адрес заносить? 5 мин, 1 час, день, навсегда? Да и динамические ip же ни кто не отменял...
У нас не редки случаи, когда звонящий говорит, что типа заказ не может сделать, все 403 вылетает (от modsecurity или evasive). Я все не мог понять почему? А потом осенило, скорее всего то ли троян у него то ли еще что-то. И попробуй это сказать ему, еще и обложит типа ламеры магазин сделать не можете нормальный.
P.S. Кстати, специально посмотрел скорость добавления англоязычных "отзывов" от 30 минут до 1,5 часов:)
08/01/2012
kuzmin:
Все очень от деятельности (вашей) зависит. Если бы все так однозначно было
Все очень от деятельности (вашей) зависит. Если бы все так однозначно было
Согласен. Нужно подумать и написать под себя систему. Это очень не сложно на самом деле.
А то что mod_evasive 403 отдаёт, так это сперва нужно удалить mod_evasive, затем Apache как пережиток прошлого. Затем поставить Nginx и нормально отладить систему. Вот и всё.
kuzmin:
P.S. Кстати, специально посмотрел скорость добавления англоязычных "отзывов" от 30 минут до 1,5 часов
P.S. Кстати, специально посмотрел скорость добавления англоязычных "отзывов" от 30 минут до 1,5 часов
Да хоть раз в 100 лет на самом деле. Сделайте кнопку ОТПРАВИТЬ на Аяксе (чтобы код её загружался после заполнения формы) или вообще форму уберите, пока не будет нажата кнопка "ОТСТАВИТЬ ОТЗЫВ" и у вас не будет этих проблем с ботами.
30 минут программирования если знаете свой код.
Проблема только в том, что по некому URL сайт.ру/отзыв.пхп вы даёте боту полностью вычитать вашу форму и сформировать пост запрос без какого-либо труда.
И даже простое переименование сайт.ру/отзыв.пхп на сайт.ру/отзыв2.пхп скорее всего позволит вам уйти от бота, т.к. ваша страничка с формой попала в списки СПАМ бота.
09/01/2012
Figu:
затем Apache как пережиток прошлого
затем Apache как пережиток прошлого
А мужики то не знают:) http://news.netcraft.com/archives/2012/ ... urvey.html
А если учесть, что nginx часто используют как балансировщик/прокси/отдачу статики (как прогрессивный вебсервер:wink:), а для динамики всё равно используется "пережиток прошлого", то картина еще хуже будет.
10/01/2012
kuzmin:
А мужики то не знают
А мужики то не знают
А откуда им знать? Они вон и СПАМ ботов в 21 веке вручную модерируют
Возьмите 10 более-менее крупных ресурсов рунета без какой-либо выборки (иными словами отбалды) и посмотрите что они используют.
Получите вы примерно следующее: nginx около 50%, дальше будет скорее всего Microsoft и только после этого Apache будет делить места с чем-то вроде Lighttpd.
Я сейчас посмотрел 10 ресурсов, ни одного апача не увидел. Полез искать подсказки "Где же найти апач" и был удивлён найдя его на mail.ru.
Больше на крупных RU порталах я его не встретил. Прикола ради глянул Oborot, но и тут он показал Nginx.
Может быть сейчас апач немного до ума довели и он стал лучше, но мы отказались от него где-то в 2006 году, после первой же ддос атаки, когда стало ясно что вечно забивающаяся очередь процессов и выедание памяти катастрафически не соответствуют никаким канонам безопасности и отказоустойчивости.
Ответить