Модуль captcha не защищает от спама

Главные вкладки

Аватар пользователя hdcoder hdcoder 17 января 2012 в 20:00

На двух моих сайтах на друпал 7 в комментарии валится спам. За день может нападать сообщений 30-50. Обновил сегодня версию движка, обновил все модули, обновил модуль captcha (до 7.x-1.0-beta2). Добавил побольше искажений в картинку captcha, увеличил число знаков в captcha (см прикрепленную картинку). Спам все равно продолжает идти. Закрыл пока комментарии для гостей.

Посоветуйте пожалуйста нормальное решение.

ВложениеРазмер
Иконка изображения spam.jpg49.83 КБ

Комментарии

Аватар пользователя K0r5hun K0r5hun 17 января 2012 в 20:32

Попробуй поставить каптчи с Javascript
Попробуй CAPTCHA Pack

В принципе может спамеры покупают распознавание каптчи? Считай 1$\1000 картинок - это вообще копейки. А от такого спама сложновато защититься, это ж почти люди получаются.

Аватар пользователя hdcoder hdcoder 18 января 2012 в 10:04

Спасибо всем за ответы!

Если правильно понял, то CAPTCHA Pack добавляет несколько своих проверок в модуль CAPTCHA. А модуль Riddler лишь одну проверку, притом она похоже аналогична одной из тех, что есть в CAPTCHA Pack?

И в том и в другом модуле можно создавать свои вопросы?

"Lotar" wrote:
рикапчу от гугла попробуй

Не люблю использовать внешние сервисы, но в крайнем случае попробую. Для нее есть модуль под друпал?
"K0r5hun" wrote:
В принципе может спамеры покупают распознавание каптчи? Считай 1$\1000 картинок - это вообще копейки. А от такого спама сложновато защититься, это ж почти люди получаются.

Не знал, что такое есть. А как понять "почти люди"?
"MainVisor" wrote:

Бесполезно, капчу я так понял люди вводят, иногда даже читают контент - по трекеру видно


По какому трекеру?

Аватар пользователя Айдар Айдар 18 января 2012 в 12:21

"hdcoder" wrote:
Если правильно понял, то CAPTCHA Pack добавляет несколько своих проверок в модуль CAPTCHA. А модуль Riddler лишь одну проверку, притом она похоже аналогична одной из тех, что есть в CAPTCHA Pack?

Неправильно.

...ТС, ты идиот, если реально думаешь, что от людского спама можно защититься?

Аватар пользователя xom940k xom940k 10 февраля 2012 в 23:41

Люди, сори если оскорблю джедаев Друпала. Меня вытошнило, когда я увидел каптчапак, которому еще до кучи надо каптча апи модуль. Они настолько громоздкие, настолько маломощные и запутанные. Если вы первый раз в жизни, пытаетесь установить каптчу на свой сайт, то используйте "чисто" каптчу, "чисто" мануал для этой каптчи. Это позволит добавлять ее КУДА УГОДНО, займет гораздо меньше времени на освоение технологии (чем разбор говнокода и ВНИМАНИЕ! спагетти-кода двух вышеописанных модулей) и полученные знания будут кросс-движковые, а значит гораздо полезней! Ее можно будет отверстать как угодно и вставить в tpl какой угодно!
Я юзаю вот что:
http://www.google.com/recaptcha
Пожалуй самое популярное решение. И что характерно - самое надежное. Когда вы поймете технологию валидации - вы в этом убедитесь.
Вот мануал для использования (очень просто и все задокументировано, в отличе от говно-спагетти-модулей под друпал):
http://code.google.com/intl/ru-RU/apis/recaptcha/intro.html
Вот конкретно хауту для PHP:
http://code.google.com/intl/ru-RU/apis/recaptcha/docs/php.html
PS: кстати, не волнуйтесь за локализацию, делайте все как там написано, каптча будет русская!
PPS: я последнее время все больше начал понимать, что тру-друпалерам проще наставить 10 модулей, а потом месяц пытаться их заставить работать вместе, чем написать 10 строк кода, который будет работать как надо и ничего лишнего (особенно это критично, если вы пишите скрипты под клиентскую часть). В связи со своими недавними умазаключениями, я как можно меньше ставлю модулей и как можно больше пишу сам. Как не странно, получается быстрей: тратится гораздо меньше времени на загугливание апи модулей (взять хотябы тот же чудовищно тормозной ubercart в котором есть дохрена всего, кроме того что мне нужно, с корявым сайтом и неполным списком апи, что проще открыть сами сорцы для освоения).

Аватар пользователя Chyvakoff Chyvakoff 11 февраля 2012 в 18:30

xom940k, согласен с тем, что гораздо проще написать код самому,чем юзать 10 модулей..
Ставил капчу пак-тормозов и глюков не заметил..
А от recaptcha тошнит меня...ненавижу эту капчу больше всех остальных капч в мире.

Аватар пользователя xom940k xom940k 11 февраля 2012 в 18:43

"Chyvakoff" wrote:
А от recaptcha тошнит меня...ненавижу эту капчу больше всех остальных капч в мире.

а ее все ненавидят. Ее ненавидят как раз по той причине, по которой она такая надежная Smile

Аватар пользователя Chyvakoff Chyvakoff 11 февраля 2012 в 18:45

xom940k wrote:
"Chyvakoff" wrote:
А от recaptcha тошнит меня...ненавижу эту капчу больше всех остальных капч в мире.

а ее все ненавидят. Ее ненавидят как раз по той причине, по которой она такая надежная =)

Железная логика)))

Аватар пользователя ihappy ihappy 11 февраля 2012 в 18:45

"xom940k" wrote:
а ее все ненавидят. Ее ненавидят как раз по той причине, по которой она такая надежная =)

Ее не любят потому, что надо текста много вводить.
А надежная она потому, что человек в 50% случаев не поймет что на ней написано.

Самая крутая капча у гугла. Легко читаемая, написана белеберда но по правилам. Можно не ломая язык читать. В итоге легко вводить.

Аватар пользователя xom940k xom940k 11 февраля 2012 в 19:01

"iHappy" wrote:
Самая крутая капча у гугла. Легко читаемая, написана белеберда но по правилам. Можно не ломая язык читать. В итоге легко вводить.

Насколько я знаю рекаптча тоже проект гугла.
А легкочитаемость с изображения - гарантирует легкое распознование нейронной сетью символов. При желании, половину каптч можно хакнуть. А вот рекаптча - доставит вам проблемы )
Дам даже узнать правильно или нет - нужен приват кей ) Не говоря уже о той белеберде, что мы видем на картинке
"iHappy" wrote:
капча у гугла

уточните ссылку - это раз
я не агетирую РЕКАПТЧА против КАПЧА ПАК (друпал)
я агетирую за чистую каптчу против каптча пак, и для примера привел рекаптчу (он просто ну очень уж попса). Выберите любую другую, пришлите ссыль, я посмтрю сорцы, если она клевая - я скажу вам спасибо )
Куча красивых каптч переглядели мы с верстальщиком, в том числе fancycaptcha, ну и основанные на канвасе. Они все клевые, но уровень валидации у них ниже среднего и гарантирует только, что кенийские спамеры руками не будут спамить. А вот русские спамеры легко напишут скриптик (на перле это делается за вечер), который в обход той же fancycaptcha спамить. Да, премодерация - это круто. Но опять же, выискивая норм комменты, разбираться в куче спама - не сильно интересно...

Аватар пользователя xom940k xom940k 11 февраля 2012 в 18:49

"Chyvakoff" wrote:
Ставил капчу пак-тормозов и глюков не заметил..

Тормозов и глюков может и нет, но как ее темизировать и как вставлять в произвольные места и шаблоны - я не понял и разбираться не стал. Я просто посмотрел что они нам понаворотили и понял, что эта задача решается не таким количеством говнокода. И нет никакого исторического, принципиального и исследовательского смысла, чтобы пытаться изучить это сборище бездарных рукописей зарубежных программистов )

Аватар пользователя Andruxa Andruxa 11 февраля 2012 в 19:01

"xom940k" wrote:
я не понял и разбираться не стал. Я просто посмотрел что они нам понаворотили и понял, что эта задача решается не таким количеством говнокода. И нет никакого исторического, принципиального и исследовательского смысла, чтобы пытаться изучить это сборище бездарных рукописей зарубежных программистов

"Все пидорасы а я д'Артаньян" (с)

Аватар пользователя Chyvakoff Chyvakoff 11 февраля 2012 в 19:08

"xom940k" wrote:
но как ее темизировать и как вставлять в произвольные места и шаблоны - я не понял и разбираться не стал.

Совсем произвольные места? Например между заголовком и списком тэгов? Согласен..это упущение капчи Drupal...
В админке капчи ставишь галку "Добавить административную ссылку CAPTCHA на формы" и она появляется абсолютно на всех формах... Находишь нужную тебе форму и говоришь ей "останься тут навсегда". Потом в админке отключаешь то что включил.

Поверь-это очень удобно.

Аватар пользователя xom940k xom940k 11 февраля 2012 в 20:15

"Chyvakoff" wrote:
Согласен..это упущение капчи Drupal...

ах ты троль )))
"Chyvakoff" wrote:
"Добавить административную ссылку CAPTCHA на формы"

я не использую тег формы вообще. Я все посты отправляю аяксом. Тем более я не использую Forms API для морды, только для админки! То что генерит Forms API - не возможно темизировать, к тому же у него еще с 5ой версии непоправленный баг с кнопками: тип button есть, но работает как submit. Так же этот модуль прикрепляет к стандартным коментам и стандартным модулям типа обратной связи - но я не использую все это!

Аватар пользователя Andruxa Andruxa 11 февраля 2012 в 20:30

фильтруй базар, мудила

"xom940k" wrote:
То что генерит Forms API - не возможно темизировать

укоз головного мозга, хули

был тут с год назад один еблан - ты не он случайно?

Аватар пользователя xom940k xom940k 11 февраля 2012 в 21:09

"Andruxa" wrote:

я смотрю ты читатель лукоморья ) Прочитанное - не означает усвоенное. И применять эпитеты нужно с умом, а не направо и налево, таким образом самоутверждаясь (перед самим собой) в своей высокой эрудиции, ну или гордиться своим ОБВМ.
Роль троля не удалась: нервничать и бросаться на людей, в угоду всеобщей потехи, начал ты ) Хотя видимо по задумки хотел, чтобы я )
Так называемый "фильтруй Базар" - эти слова подъездных пивососов давно не трогают мои чувства, потому как выкрикивают их скатываясь с лестницы, под ускорением моего пинка. Аватар у меня говорящий, к слову.
Так что какую смысловую нагрузку тЫ пытаешься тут донести до широких масс - мне не ясна. Ничего нового, кроме как, что ты хамло и "сапожник" я не усвоил Smile
Посему разговор с тобой, как и ожидалось - короток и закончен. И в принципе, по очевидным причинам заслуживаешь бана Smile

Аватар пользователя Айдар Айдар 12 февраля 2012 в 18:19

"xom940k" wrote:
Ее ненавидят как раз по той причине, по которой она такая надежная =)

Да ну?!
Рекапчу взламывали не раз и она пробивается.

Аватар пользователя Andruxa Andruxa 12 февраля 2012 в 19:43

Защита от спама - это в первую очередь административные, а не программные меры:
1. Подтверждение e-mail при регистрации пользователя
2. Назначить роли "Зарегистрированный пользователь" те же права и ограничения, что и для анонимуса, в т.ч. премодерация созданного им контента
3. После создания пользователем определенного кол-ва валидного контента, автоматически назначать ему роль "Проверенный пользователь" с бОльшими привилегиями

тут ситуация похожа на автомобильные сигнализации - ни одна из них не защитит от угона, но чем сложнее защита, тем больше вероятность, что угонщики переключатся на мене защищенное авто.

что же касается рекапчи - когда меня просят ввести её на сайте, я покидаю его без малейших сомнений, независимо от того, что я собирался там оставить - каммент или N денег.

Аватар пользователя rbogdan@drupal.org rbogdan@drupal.org 12 февраля 2012 в 20:08

Тестирую у себя на сайте такую защиту от ботов.

Сначала для анонимных комментов стояла только hidden_captcha. Обычных пользователей она не напрягает, а ботов тех, которые приходили на сайт успешно банила. Дальше на сайт пришли боты, которые игнорировали поле каптчи и она стала бесполезной.

В итоге к hidden_captcha дописал небольшой модуль на 40 строк, который в форму комментария добавляет поле с помощью js. И потом проверяет при валидации коммента на сервере установлено ли это поле. Всё больше пока-что ни одного комментария от не было опубликовано.

Аватар пользователя xom940k xom940k 15 февраля 2012 в 22:42

"Айдар" wrote:
Да ну?!
Рекапчу взламывали не раз и она пробивается.

Все можно взломать. Другой вопрос - стоит оно того? И какова статистика...
"Andruxa" wrote:

Согласен! Ваш пост - очень полезный. Хочу отметить, что у меня на сайте используется премодерация, что так же является административным валидатором. Пользователей на сайте нет и они не нужны, тк сайт - магазин, а я приверженец чекаута в минимальное число кликов и желательно тока с 1ой-2я перезагрузками страницы, а заведение пользователей совершенно никчему в данном проекте и лишь усложнит процесс покупок. Так же я фанат OpenID, однако тут надо быть осторожней Smile Недавно расшарил вконткте ролик с сайта единоборств, вечером мой акк взломали! Случилось со мной впервые (что чтото у меня взломали) Smile Девственность потерял, щас буду разборчив в выборе Biggrin
"Andruxa" wrote:
что же касается рекапчи - когда меня просят ввести её на сайте, я покидаю его без малейших сомнений, независимо от того, что я собирался там оставить - каммент или N денег.

ну вот зачем это писать? ))) У вас нет аккаунта на фейсбуке? Если в интернет банк банка, где вы обслуживаетесь сделают рекаптчу, вы что, бросите там все свои деньги и не будете пользоваться им? ))
Тем не менее, стоит отметить, что неприязнь к рекаптче - уместна. Моему клиенту она тоже не нравится, придется заменить.
В связи с этим - посоветуйте какунибудь с набором текста с картинки, пока я не начал искать альтернативы, рассмотрю первоочередно Smile

Аватар пользователя Айдар Айдар 15 февраля 2012 в 23:55

"xom940k" wrote:
Все можно взломать.

Да пох, можно или нет! Я о том, что ее взломали, и она пробивается на раз, и постилось кое-где столько спама, а не о том, что можно и что нельзя!
Т.е. о том, что она ненадежна.

Аватар пользователя xom940k xom940k 16 февраля 2012 в 0:01

"Айдар" wrote:
ненадежна

ну исходя из того, что уже взломали, значит уже у когто есть, значит ктото может - согласен ). Но я с ходу не скажу что сделать, кроме как нейронкой ее сканить (картинку), чтобы взломать. К тому же нейронки хоть и обучаемые, но все равно чувтсвительны к изменениям. А рекаптча щас более брутальная, чем я ее помню, раньше была... Возможно это как раз ответка на взломы )))
В любому случае клиент сказал, что она страшная Biggrin
Надо чето другое Smile
Ты что юзаешь?

Аватар пользователя Айдар Айдар 16 февраля 2012 в 0:56

"xom940k" wrote:
Но я с ходу не скажу что сделать, кроме как нейронкой ее сканить (картинку), чтобы взломать.

Да к черту нейронку! Базу сперли и делов!

"xom940k" wrote:
Ты что юзаешь?

Вопрос-ответ.

Аватар пользователя Taraas Taraas 4 января 2013 в 10:25

Имел сходную проблему. Друпаловская каптча не помогала.
Установил РеКаптчу. Как отрезало, пока что. Там посмотрим.
Кому нужно - вот отсюда: http://drupal.org/project/recaptcha Настройки простейшие: взять два ключа у Гугла.

Хотел поставить KeyCAPTCHA, но она стала платной. Sad

Аватар пользователя I_CaR I_CaR 2 июля 2013 в 5:55

Да свою на крайняк написать. Новый алгоритм 100% продолжительно время не будет известен ботам.
А если ресурс менее 500-1000 посетителей в день, то возможно это и будет 100% защитой.
А на серьезные сайты, начинают обращать внимание и серьезные ребята... Ну там и CMS будет не Друпал Wink
-------
Да и готовых каптч тоже вроде с десяток на drupal.org