最新のWebフォームスパム対策システムの概要

議論されること

おそらく、リンクを置いたり何かを宣伝したり、コメントやフォーラムで「左広告」、さらには「右」を見たくない人たちとの戦いは止まらないでしょう。



過去にスパムWebフォーム用のツールの開発に多くの時間を費やした人として。 私は、多くの著者が見落としている点に焦点を当てたいと思います。



さまざまなリソースで繰り返し同様のトピックが取り上げられましたが、私の目に留まった記事はすべて、バリケードの反対側の人々によって書かれました。

歴史的小旅行

ボットマスターが有名なXRumerをリリースしてから何年も経ちました 。 当時、それはスパム技術の真の革命であり、スパムは産業レベルに移行しました。



キャプチャの自動認識（最初は最も単純で、その後は非常に複雑）、電子メールアカウントのアクティブ化、自分との対話の実行、必要なフォーラムデータベースの迅速な収集を可能にするフッカー、数百のストリームでの作業-これはかなり高い価格を正当化したソフトウェア製品。 フォーラム、ゲストブック、およびその後のブログのモデレーターは、スパムをクリーンアップし、新しいユーザーの登録を禁止することさえありました...



私はこのフラマーを宣伝しませんが、それはそのクラスで真に革命的でユニークな製品でした（現時点では一般的に関連しているため、この言葉は完全に適切ではありませんでした）。



当時のBlack SEOは、主にフォーラムとゲストブックの正しい基盤に基づいた、ねじれのない適切なリソースで構成されていました。 非常に多くの場合、そのような単純なアクションは驚くべき結果をもたらしました。



当時のフォーラム、ゲスト、ブログの保護はかなり原始的なレベルであり、せいぜい単純なキャプチャであり、多くの場合、保護は完全に欠けていました...



世論の反応は、悪意のあるソフトウェアと戦う方法の開発でした。 もちろん、スパムの前にスパムおよび保護ツール用のソフトウェアがありましたが、この問題が特に緊急になったのはこのソフトウェアの出現でした。

最新のWebフォームのスパム対策方法

• キャプチャ画像 -特別な話はありません。誰もがあらゆる種類のキャプチャ画像を見ました。 また、多くの人がユニバーサルサービスreCAPTCHAについて知っています。これは、最も認識しにくいキャプチャを提供します。
  
  
  
  
• さまざまなタイプのテキストキャプチャは 、質問と回答の束を使用して、提案された質問への回答を書くことを提案するキャプチャです。 これには、何らかの算術を行い、入力フィールドに正しい答えを入力するためのキャプチャも含まれます。
  
  
  
  
• インタラクティブキャプチャは、かなり新しい、しかし一般的ではないタイプのキャプチャであり、その意味は、ユーザーといくつかのオブジェクトとのインタラクティブな対話です。 特定のCMS（主にWP）に対して、このようなキャプチャの実装がいくつかあります。 reCAPTCHAと同様に、任意のCMSに統合できるユニバーサルKeyCAPTCHAサービスと同様に。
  
  
  
  
• 「スモーキーではない」スパムフィルタリング方法 -この方法は、サイトの訪問者の精神を最も傷つけない方法として、スパム保護に関する多くの記事で積極的に宣伝されています。
  
  この保護クラスには次のものが含まれます。
  
  
  • 「オンザフライ」でのフォームの作成や、後でWebサーバーによって正確性がチェックされるフィールドの設定など、JSのあらゆる種類のトリック。
  • Webサーバートラップ：
    
    
    • ロボットのみが取得し、後にIPによって禁止されるサイトの非表示セクションの作成
    • フォームへの入力速度の遅延を確認する
    • 匿名プロキシフィルタリング
    • 他の種類のトラップと同様に、ウェブマスターの想像力に応じて、洗練度が異なります
  • Akismetサービス
  • Disqusサービスはブログ専用ですが、条件付きでこのカテゴリに属する​​こともできます。

上記の保護方法がインストールされているリソースのブロック方法

• キャプチャ画像-OCRを使用して渡されない場合、キャプチャ画像1000個につき約1ドルの価格で認識されます。 これは、ほぼすべての深刻なスパマーが喜んで支払う手頃な価格です。
  
  
  
  現時点では、この「恥ずべき」レッスンのためにいくつかのサービスがすでに積極的に運用されています。 スクリプトを使用して、Webページから受信した画像がサービスに送信され、その後、人（通常は学童、学生、中国語）によって認識され、サービスは完成した応答をテキスト形式でスパマーに返します。その後、スパムプログラムがフォームに挿入します。寝たい。
  
  
  
  もちろん、すべてのアンチゲート従業員（最も人気のあるこのようなサービスに敬意を表します）が誠実に働くわけではないため、そのようなサービスにはフィードバックと「品質管理」システムがあります。 あなたが不満を言った悪い労働者はルーブルによって罰せられます。 このようなサービスとの統合は、最新のスパムプログラムに既に組み込まれています。
  
  
  
  したがって、個人的には、captcha-images captchaの一部の共犯者の永続性についてはあまり理解していません。captcha-picturecaptchaがどれほど困難であっても、アンチゲートサービスを使用して認識されます。 これは、登録フォームの保護に特に当てはまります。1000アカウントの登録に対して1ドルを支払うことです。私の意見では、完全に「グリーン」なスパマーにとっても難しいことではありません。
  
  
  
  
• テキストキャプチャ -ここでは、一方ではすべてがはるかに単純であり、他方でははるかに複雑です。 非常に豊かな想像力とあまり一般的ではないリソースがある場合、そのような保護は、手動で構成されていれば節約できます。 それ以外の場合、スパムソフトウェア開発者は質問と回答のテキストベースを常に補充し、そのような保護を通じてスパムを成功させます。
  
  
  
  
• インタラクティブなキャプチャ -このタイプのキャプチャはまだあまり一般的ではありません。 現時点では、WPのいくつかの非ユニバーサル実装、および任意のCMSに統合できる1つのユニバーサルサービスを知っています。これはKeyCAPTCHAです。 これまでのところ、私は個人的にKeyCAPTCHAで保護されたフォームでボットを使用するスパム方法を知りません。 そして、今後数年のうちに、この保護によって保護されるフォームがスパムボットにとって最も無防備になると思われます。
  
  
  
  
• キャップレス保護 -この保護方法は特に興味深いものであり、より詳細な分析が必要です。
  
  
  • さまざまな種類のJSトリックに基づく保護 -ここでは、ほとんどのスパムプログラムが現時点で対処できなくなり、
    
    これには、JSおよびすべてのページイベントを完全に処理する実際のHTMLレンダリングが必要になるためです。
    
    すべてが素晴らしいと思いますが、ブラウザを完全にエミュレーションするためのプログラムはすでに1つではなく、むしろ、それによって管理される完全に正直なIEです。 このようなブラウザは、スパマーに必要なスクリプトによって完全に制御されます。 つまり、PHPまたはその他のスクリプト言語でスパマーが作成したアルゴリズムを使用して、実際のブラウザの動作を100％エミュレートできます。
    
    
    
    このようなブラウザは、プロキシを変更し、画面から直接写真を撮り、マウスでチェックボックスとリンクをクリックすることをエミュレートし、レンダリングされたスタイルを表示できます。 一般的に、あなたが望むことは何でもします。 さらに、このような管理されたブラウザを同時に実行できるスパムマシンを作成できるソフトウェアがあります。
    
    
    
    
  • ボット用のトラップの形でのWebサーバーからのトリックに基づく保護 -もちろん、プログラムされていない限り、（管理対象ブラウザー）は可視リンクのみを通過するため、上記の管理対象ブラウザーの助けを借りて簡単に実行できます。
    
    
    
    
  • Akismetスパムフィルターサービスに基づく保護 -このサービスの保護は、メッセージのテキストからスパムの兆候を分離することに基づいており、IPアドレス（ブラウザCookieなど）が存在する場合があります。 そのため、任意のWebフォームで使用することはできません。たとえば、スパマーが「損なわれていない」IPアドレスを使用している場合、Akismetの登録フォームを確実に保護することはできません。 しかし、実践が示しているように、スパムメッセージは平均的なトラフィックでブログに定期的に表示されるため、経験豊富な悪人はAkismetのコンテキスト保護をバイパスします。 質問全体は、単にスパムメッセージの適切な編集です。
    
    
    
    
  • Disqus-ベースの保護は、上で書いたように、ソリューションも普遍的ではなく、サイトのコンテンツからコメントを完全に削除し、Disqusサーバーに転送します。 次に、JSを使用してサイト訪問者にロードされます。 一方で、コメントはサイトの一部ではなくなるため、これは効果的ですが、欠点がないわけではありません。 また、この保護機能を使用したスパム送信は、同じマネージドブラウザーを使用して行うことができます。コメントには、「Megafonで働いていたとき」が表示されます。
    
    
    
    

合計

最後に、比較タブレットで上記のすべてを簡単に要約および要約したいと思います。

保護方法またはサービス	長所	欠点	ハッキングの機会
キャプチャ画像	インストールが簡単で、ほとんどのCMSには、 reCAPTCHAサービスを操作するためのいくつかの組み込みタイプのキャプチャ画像と多くのプラグインがあります。	あなたがロボットでなくても、多くのタイプの最新のキャプチャ画像をキャプチャするのは難しいです。	OCRまたは特別なアンチゲートサービスを使用して認識されます。
テキストキャプチャ	多くのCMSの実装があり、自分で行うのは難しくありません。独自の質問応答辞書を構成できます。	人があなたの質問の答えを知らないというリスクを除いて、特別な欠点はありません。	人気のあるリソース用にコンパイルされたデータベースに従ってハッキングされ、更新されたデータベースはキットに含まれています。 第三者による承認も手配できます。
JC無料キャプション	最新のスパムプログラムのほとんどは、このような保護を回避できません。	特定の欠陥はありませんが、JSのいくつかの側面はブラウザによって異なる方法で実行されるため、異なるブラウザでテストする必要があります。	管理されたブラウザで簡単に管理できます。
非キャプチャサーバー側のトリック	トリッキーなアルゴリズムを実装できます。	ボットの適切な動作による保護の有効性は疑わしいです。	管理されたブラウザで簡単に管理できます。
アキスメット	コメントでスパムの大部分を「透過的に」キャッチできます。	登録フォーム、またはその他の任意のフォームを保護できません。	管理されたブラウザを使用し、あまり攻撃的なボットの動作ではないため、スパムを送信できます。
ディスカス	コメントでスパムの大部分を「透過的に」キャッチできます。	普遍的ではなく、ブログへのコメントにのみ適しています。 検索エンジンの観点から見ると、読者のコメントはサイトのコンテンツの一部ではなくなりました。	管理されたブラウザを使用し、ボットの動作をあまり積極的ではないため、広告メッセージをスパム送信できます。
KeyCAPTCHA	ユーザーにとって非常に面白い。 現時点でのボットに対する最大限の保護を提供します。	サイズがかなり大きい。 これまでのところ、CMS用のプラグインはほとんどなく、ユニバーサル接続用のクラスはPHPのみです。	作業のメカニズムを研究した結果、第三者への自動認識または転送は非常に問題があると思います。