На двух моих сайтах на друпал 7 в комментарии валится спам. За день может нападать сообщений 30-50. Обновил сегодня версию движка, обновил все модули, обновил модуль captcha (до 7.x-1.0-beta2). Добавил побольше искажений в картинку captcha, увеличил число знаков в captcha (см прикрепленную картинку). Спам все равно продолжает идти. Закрыл пока комментарии для гостей.
Посоветуйте пожалуйста нормальное решение.
Вложение | Размер |
---|---|
spam.jpg | 49.83 КБ |
Комментарии
Попробуй поставить каптчи с Javascript
Попробуй CAPTCHA Pack
В принципе может спамеры покупают распознавание каптчи? Считай 1$\1000 картинок - это вообще копейки. А от такого спама сложновато защититься, это ж почти люди получаются.
рикапчу от гугла попробуй
Riddler.
+100500!!! и вопросы поиндивидуальнее забабахать
Бесполезно, капчу я так понял люди вводят, иногда даже читают контент - по трекеру видно
+1
Я ей защитился.
м... подпишусь...
чё это? от человека-спамера согласен - нет защиты 100%, а от ботов - Riddler 4ever
Спасибо всем за ответы!
Если правильно понял, то CAPTCHA Pack добавляет несколько своих проверок в модуль CAPTCHA. А модуль Riddler лишь одну проверку, притом она похоже аналогична одной из тех, что есть в CAPTCHA Pack?
И в том и в другом модуле можно создавать свои вопросы?
Не люблю использовать внешние сервисы, но в крайнем случае попробую. Для нее есть модуль под друпал?
Не знал, что такое есть. А как понять "почти люди"?
По какому трекеру?
Неправильно.
...ТС, ты идиот, если реально думаешь, что от людского спама можно защититься?
"За день может нападать сообщений 30-50"
Не понял: У Вас капча на сообшениях или только на регистрации?
Люди, сори если оскорблю джедаев Друпала. Меня вытошнило, когда я увидел каптчапак, которому еще до кучи надо каптча апи модуль. Они настолько громоздкие, настолько маломощные и запутанные. Если вы первый раз в жизни, пытаетесь установить каптчу на свой сайт, то используйте "чисто" каптчу, "чисто" мануал для этой каптчи. Это позволит добавлять ее КУДА УГОДНО, займет гораздо меньше времени на освоение технологии (чем разбор говнокода и ВНИМАНИЕ! спагетти-кода двух вышеописанных модулей) и полученные знания будут кросс-движковые, а значит гораздо полезней! Ее можно будет отверстать как угодно и вставить в tpl какой угодно!
Я юзаю вот что:
http://www.google.com/recaptcha
Пожалуй самое популярное решение. И что характерно - самое надежное. Когда вы поймете технологию валидации - вы в этом убедитесь.
Вот мануал для использования (очень просто и все задокументировано, в отличе от говно-спагетти-модулей под друпал):
http://code.google.com/intl/ru-RU/apis/recaptcha/intro.html
Вот конкретно хауту для PHP:
http://code.google.com/intl/ru-RU/apis/recaptcha/docs/php.html
PS: кстати, не волнуйтесь за локализацию, делайте все как там написано, каптча будет русская!
PPS: я последнее время все больше начал понимать, что тру-друпалерам проще наставить 10 модулей, а потом месяц пытаться их заставить работать вместе, чем написать 10 строк кода, который будет работать как надо и ничего лишнего (особенно это критично, если вы пишите скрипты под клиентскую часть). В связи со своими недавними умазаключениями, я как можно меньше ставлю модулей и как можно больше пишу сам. Как не странно, получается быстрей: тратится гораздо меньше времени на загугливание апи модулей (взять хотябы тот же чудовищно тормозной ubercart в котором есть дохрена всего, кроме того что мне нужно, с корявым сайтом и неполным списком апи, что проще открыть сами сорцы для освоения).
xom940k, согласен с тем, что гораздо проще написать код самому,чем юзать 10 модулей..
Ставил капчу пак-тормозов и глюков не заметил..
А от recaptcha тошнит меня...ненавижу эту капчу больше всех остальных капч в мире.
а ее все ненавидят. Ее ненавидят как раз по той причине, по которой она такая надежная
Железная логика)))
Ее не любят потому, что надо текста много вводить.
А надежная она потому, что человек в 50% случаев не поймет что на ней написано.
Самая крутая капча у гугла. Легко читаемая, написана белеберда но по правилам. Можно не ломая язык читать. В итоге легко вводить.
Насколько я знаю рекаптча тоже проект гугла.
А легкочитаемость с изображения - гарантирует легкое распознование нейронной сетью символов. При желании, половину каптч можно хакнуть. А вот рекаптча - доставит вам проблемы )
Дам даже узнать правильно или нет - нужен приват кей ) Не говоря уже о той белеберде, что мы видем на картинке
уточните ссылку - это раз
я не агетирую РЕКАПТЧА против КАПЧА ПАК (друпал)
я агетирую за чистую каптчу против каптча пак, и для примера привел рекаптчу (он просто ну очень уж попса). Выберите любую другую, пришлите ссыль, я посмтрю сорцы, если она клевая - я скажу вам спасибо )
Куча красивых каптч переглядели мы с верстальщиком, в том числе fancycaptcha, ну и основанные на канвасе. Они все клевые, но уровень валидации у них ниже среднего и гарантирует только, что кенийские спамеры руками не будут спамить. А вот русские спамеры легко напишут скриптик (на перле это делается за вечер), который в обход той же fancycaptcha спамить. Да, премодерация - это круто. Но опять же, выискивая норм комменты, разбираться в куче спама - не сильно интересно...
Тормозов и глюков может и нет, но как ее темизировать и как вставлять в произвольные места и шаблоны - я не понял и разбираться не стал. Я просто посмотрел что они нам понаворотили и понял, что эта задача решается не таким количеством говнокода. И нет никакого исторического, принципиального и исследовательского смысла, чтобы пытаться изучить это сборище бездарных рукописей зарубежных программистов )
"Все пидорасы а я д'Артаньян" (с)
Совсем произвольные места? Например между заголовком и списком тэгов? Согласен..это упущение капчи Drupal...
В админке капчи ставишь галку "Добавить административную ссылку CAPTCHA на формы" и она появляется абсолютно на всех формах... Находишь нужную тебе форму и говоришь ей "останься тут навсегда". Потом в админке отключаешь то что включил.
Поверь-это очень удобно.
почему все? тока ты )
ах ты троль )))
я не использую тег формы вообще. Я все посты отправляю аяксом. Тем более я не использую Forms API для морды, только для админки! То что генерит Forms API - не возможно темизировать, к тому же у него еще с 5ой версии непоправленный баг с кнопками: тип button есть, но работает как submit. Так же этот модуль прикрепляет к стандартным коментам и стандартным модулям типа обратной связи - но я не использую все это!
фильтруй базар, мудила
укоз головного мозга, хули
был тут с год назад один еблан - ты не он случайно?
я смотрю ты читатель лукоморья ) Прочитанное - не означает усвоенное. И применять эпитеты нужно с умом, а не направо и налево, таким образом самоутверждаясь (перед самим собой) в своей высокой эрудиции, ну или гордиться своим ОБВМ.
Роль троля не удалась: нервничать и бросаться на людей, в угоду всеобщей потехи, начал ты ) Хотя видимо по задумки хотел, чтобы я )
Так называемый "фильтруй Базар" - эти слова подъездных пивососов давно не трогают мои чувства, потому как выкрикивают их скатываясь с лестницы, под ускорением моего пинка. Аватар у меня говорящий, к слову.
Так что какую смысловую нагрузку тЫ пытаешься тут донести до широких масс - мне не ясна. Ничего нового, кроме как, что ты хамло и "сапожник" я не усвоил
Посему разговор с тобой, как и ожидалось - короток и закончен. И в принципе, по очевидным причинам заслуживаешь бана
Да ну?!
Рекапчу взламывали не раз и она пробивается.
mollom ??
для небольшого сайта его бесплатного хватает))
Защита от спама - это в первую очередь административные, а не программные меры:
1. Подтверждение e-mail при регистрации пользователя
2. Назначить роли "Зарегистрированный пользователь" те же права и ограничения, что и для анонимуса, в т.ч. премодерация созданного им контента
3. После создания пользователем определенного кол-ва валидного контента, автоматически назначать ему роль "Проверенный пользователь" с бОльшими привилегиями
тут ситуация похожа на автомобильные сигнализации - ни одна из них не защитит от угона, но чем сложнее защита, тем больше вероятность, что угонщики переключатся на мене защищенное авто.
что же касается рекапчи - когда меня просят ввести её на сайте, я покидаю его без малейших сомнений, независимо от того, что я собирался там оставить - каммент или N денег.
Тестирую у себя на сайте такую защиту от ботов.
Сначала для анонимных комментов стояла только hidden_captcha. Обычных пользователей она не напрягает, а ботов тех, которые приходили на сайт успешно банила. Дальше на сайт пришли боты, которые игнорировали поле каптчи и она стала бесполезной.
В итоге к hidden_captcha дописал небольшой модуль на 40 строк, который в форму комментария добавляет поле с помощью js. И потом проверяет при валидации коммента на сервере установлено ли это поле. Всё больше пока-что ни одного комментария от не было опубликовано.
Все можно взломать. Другой вопрос - стоит оно того? И какова статистика...
Согласен! Ваш пост - очень полезный. Хочу отметить, что у меня на сайте используется премодерация, что так же является административным валидатором. Пользователей на сайте нет и они не нужны, тк сайт - магазин, а я приверженец чекаута в минимальное число кликов и желательно тока с 1ой-2я перезагрузками страницы, а заведение пользователей совершенно никчему в данном проекте и лишь усложнит процесс покупок. Так же я фанат OpenID, однако тут надо быть осторожней Недавно расшарил вконткте ролик с сайта единоборств, вечером мой акк взломали! Случилось со мной впервые (что чтото у меня взломали) Девственность потерял, щас буду разборчив в выборе
ну вот зачем это писать? ))) У вас нет аккаунта на фейсбуке? Если в интернет банк банка, где вы обслуживаетесь сделают рекаптчу, вы что, бросите там все свои деньги и не будете пользоваться им? ))
Тем не менее, стоит отметить, что неприязнь к рекаптче - уместна. Моему клиенту она тоже не нравится, придется заменить.
В связи с этим - посоветуйте какунибудь с набором текста с картинки, пока я не начал искать альтернативы, рассмотрю первоочередно
Да пох, можно или нет! Я о том, что ее взломали, и она пробивается на раз, и постилось кое-где столько спама, а не о том, что можно и что нельзя!
Т.е. о том, что она ненадежна.
ну исходя из того, что уже взломали, значит уже у когто есть, значит ктото может - согласен ). Но я с ходу не скажу что сделать, кроме как нейронкой ее сканить (картинку), чтобы взломать. К тому же нейронки хоть и обучаемые, но все равно чувтсвительны к изменениям. А рекаптча щас более брутальная, чем я ее помню, раньше была... Возможно это как раз ответка на взломы )))
В любому случае клиент сказал, что она страшная
Надо чето другое
Ты что юзаешь?
Да к черту нейронку! Базу сперли и делов!
Вопрос-ответ.
гы )))
о.О
Имел сходную проблему. Друпаловская каптча не помогала.
Установил РеКаптчу. Как отрезало, пока что. Там посмотрим.
Кому нужно - вот отсюда: http://drupal.org/project/recaptcha Настройки простейшие: взять два ключа у Гугла.
Хотел поставить KeyCAPTCHA, но она стала платной.
Да свою на крайняк написать. Новый алгоритм 100% продолжительно время не будет известен ботам.
А если ресурс менее 500-1000 посетителей в день, то возможно это и будет 100% защитой.
А на серьезные сайты, начинают обращать внимание и серьезные ребята... Ну там и CMS будет не Друпал
-------
Да и готовых каптч тоже вроде с десяток на drupal.org
Опять-же скажу о такой вещи как AntiGate,это сайт где люди ручками вводят твою каптчу,и спамь сколько хочешь