Руками ежедневно чистить базу - морока та еще. Какая цель регистрации на сайте у обычного пользователя? Размещение заказа, создание комментария или темы в форуме, записи в блоге. Ну, может у кого еще какие цели, тут каждый смотрит по своим задачам сам. Как бороться с такими отложенными регистрациями? Пишем простенькую проверку новых пользователей, есть у них что-то на сайте из перечисленного? Нету, так и нечего тут висеть тогда, в треш. Запускаем кроном с нужной регулярностью. Тяжелые случаи с уже размещенным спамом - тут уже не прокатит, но таких вот торговцев забитыми отложенными регами да заполненными ссылками в профайлах бомбить самое то. Можно дать достойным шанс, отложив такую проверку на день-два, вдруг человек зарегистрировался, а заказ пока не разместил, присматривается, обидим еще
Алексей Тарасов пишет: Какая цель регистрации на сайте у обычного пользователя?
- Не так всё просто. Много реальных пользователей пользователей, которые своей регистрацией так выражают радость, согласие по поводу увиденного или прочитанного или надежду что-то предпринять. Кроме того, некоторые регистрируются потому, что, иногда справедливо, считают, что так смогут воспользоваться расширенными фильтрами или улучшенными возможностями поиска.
Например, на сайте знакомств возможна регистрация и заполнение своего профиля пользователем, чтобы просматривать анкеты других в расширенном варианте, использовать расширенный поиск. Но, это не значит, что пользователь обязательно напишет кому-нибудь что-то в тот же день, может просто смотреть неделями и месяцами и искать себе подходящих людей для знакомства, т.е. никак себя не проявлять, кроме, как, иногда, заходя на сайт раз в сто лет.
Цитата
kopoBko пишет: подключить к сайту список ип адресов спамботов
- Те, кто так делали жалуются, что этих адресов тысячи и десятки тысяч и ими не удобно эффективно управлять. И, говорят, что бессмысленно с ними возиться ради ботов, уподобляясь антивирусу Касперского, который ежедневно закачивает громоздкие обновления своих баз, постоянно разрастающиеся, чтобы обнаружить какую-нибудь фитюльку и пропищать об угрозе раз в квартал.
Цитата
Антон Долганин пишет: вот только как от таких защищаться
На мой взгляд, в этом направлении уже есть движение у Артемия Зайцева, который решил выпустить модуль Завершение авторизации, правда, для других целей: http://marketplace.1c-bitrix.ru/solutions/askaron.finishreg/ Суть там в том, что пользователей, пришедших из соцсетей, заставляют дополнительно руками заполнить поля, которые считает нужным владелец сайта, и есть возможность проверять эти поля регулярными выражениями и подтверждать адрес электронной почты. Если этот модуль развивать и расширить его применение на всех регистрирующихся пользователей, а не только на тех, кто из соцсетей, то таким методом можно сражаться с ботами, которые регистрируются.
Короче, надо действовать как-то по Артемию Зайцеву (регистрация не сразу, а в два этапа: первый этап простой и мало полей, и сразу идёт второй завершающий посложнее, где больше полей и есть проверки) в этом деле, и расширить проверки полей, хоть капчу ещё дополнительную как-то подключать на странице завершения регистрации или словесное задание просить выполнить.
Алексей Комаров пишет: регистрация не сразу, а в два этапа: первый этап простой и мало полей, и сразу идёт второй завершающий посложнее, где больше полей и есть проверки
Вот таки да... Любое усложнение регистрации снизит на порядок количество этих самых регистраций. У вас такой уникальный сайт, что люди будут долбить несколько уровней регистрации? Или уйдут к конкуренту? Ищите, чем отличаются боты от людей, а не усложняйте жизнь пользователям. Вы от заточенных под вас ботов все равно не избавитесь, а реальных пользователей потеряете. А универсальные боты отсеиваются любой достаточно простой, но уникальной, модификацией. Ну это как сложная активация софта, кому надо - все равно своруют, а вот легальным пользователям зачастую геморой только лишний.
kopoBko пишет: и третим этапом дать решить логарифм и ребус
Суть не в этом. Авторизовать на сайте вы их можете и сразу после первого этапа, после заполнения минимума количества обязательных полей. И, дать возможность этим пользователям пользоваться сайтом. Но те из них, которые не сделали завершение авторизации, т.е. не заполнили поля, которые их просили заполнить - они попадают под подозрение, что они - боты, и в дальнейшем их можно будет удалить или ограничить в правах (поместить в группу подозрительных), пока не заполнят.
Цитата
kopoBko пишет: а какая у ботов может быть выгода если они только регистрируются и ничего не делают?!
Они сейчас ничего не делают, находятся в спячке, а потом, как в фильмах ужасов, воскреснут все разом и испортят сайт за два дня.
Представьте, у вас на сайте регистрируется, допустим, по 20-40 ботов в день (у меня так было несколько дней, причём по нарастающей в арифметической прогрессии), сразу проверяют успешность своей регистрации, т.е. вход по логину и паролю, и впадают в спячку. Через полгода, если вы их сразу не удаляете, у вас будет на сайте уже 180 дней х 30 ботов = 5400 профилей (возможно, даже реальных пользователей на сайте не будет столько), готовых к программному управлению извне (писать рекламные посты, изменить свой профиль, добавив в него ссылки, плюсовать или минусовать авторитет других и друг друга, писать матом или в личные сообщения и т.п.).
Потом, одним ударом (или не одним), эти пользователи напишут по одному-другому сообщению везде, где укажут хозяева, и вы ничего не сможете сделать, т.к. не будет формального критерия отделить их пост от поста реального человека. Потому, что, изначально, пустили ситуацию на самотёк и, даже, радовались, что ценность сайта растёт при увеличении числа зарегистрированных пользователей.
Вот, эта ситуация бесконтрольности над ботами мне не нравится. Считаю, что подобные ситуации потенциально опасными и, что их нужно упреждать, иначе, придётся удалять сразу всю базу пользователей, и реальных и ботов вместе.
Алексей Тарасов пишет: У вас такой уникальный сайт, что люди будут долбить несколько уровней регистрации?
- Это не ограничение реальных пользователей в пользовании сайтов, их можно ничем не ограничивать. А, способ пометить часть пользователей на будущее как ботов для того, чтобы потом, в случае наступления аварийный событий, удалить только часть пользователей, входящих в группу подозрительных пользователей потому, что они что-то не сделали ещё тогда, на этапе регистрации.
Про реальных пользователей, проявивших себя на сайте как реальные люди, речь не идёт - они не должны находиться в группе подозрительных пользователей, даже, если туда попали при регистрации из-за своей лени. А, те боты, которые потом напишут по одному сообщению спама - их можно будет удалить всех одним махом, т.к. они будут в группе подозрительных.
как вариант подключить к сайту список ип адресов спамботов, такие списки благо есть и проверять. но тут есть вероятность отсеять простого человека который: а)имеет прокси с этим ип б)получил динамический ип который есть в базе(меньше всего верится) в)человек,случайно попавший в базу
не, не покатит. Видел уже на нескольких специализированных форумах услугу регистрации аккаунтов не через проксю, а с ИП реальных людей. Судя по всему используются ботнеты...
Алексей Комаров пишет: Про реальных пользователей, проявивших себя на сайте как реальные люди, речь не идёт - они не должны находиться в группе подозрительных пользователей, даже, если туда попали при регистрации из-за своей лени.
Тогда какой смысл в заполнении доп. полей? Трактуйте всех пользователей по умолчанию как недоверенных, и выводите из этого статуса по некому действию, которое в вашей ситуации можете трактовать как "проявление себя как реального человека". Ведь дополнительный этап регистрации усложнит регистрацию для людей, универсальных ботов остановит (как и любое другое нетривиальное действие), а заточенных под ваш сайт ботов не остановит. Есть же услуга, где регистрируются живые люди (разгадывают капчу за копейки, но могут и под реальную задачу написать любую схему), их ни двумя, ни тремя уровнями проверки не обойдете. Модуль завершения регистрации, насколько я помню, создан от проблемы с отдачей мыла соцсетями, адреса и т.п. То есть там вполне понятная человеку постановка вопроса, зачем нужно эти данные предоставить. В ситуации с отсеиванием ботов ну не должны пользователи делать лишние телодвижения, надо думать явно в другую сторону.
Алексей Тарасов пишет: Тогда какой смысл в заполнении доп. полей?
- В автоматизации процесса тестирования на разделение бот-человек.
Цитата
Алексей Тарасов пишет: Трактуйте всех пользователей по умолчанию как недоверенных, и выводите из этого статуса по некому действию, которое в вашей ситуации можете трактовать как "проявление себя как реального человека".
- По сути, об этом и тема с самого начала, что это за некое такое действие. Предложения о том, как трактовать, и что для этого сделать, чтобы усложнить регистрацию ботов.
Цитата
Алексей Тарасов пишет: разгадывают капчу за копейки
- Считается, что это индусы разгадывают. Они понимают только латинский шрифт капчи. Русские буквы капчи не знают и читать "чему равно два плюс два" не умеют.
Цитата
Алексей Тарасов пишет: Ведь дополнительный этап регистрации усложнит регистрацию для людей
- Ваш аргумент понятен. Вы считаете, что жизнь регистрирующимся людям нужно упростить до максимума не взирая ни на какую опасность от ботов, т.к. не считаете её реальной, значимой или стоящей рассмотрения по сравнению с удобством людей. Я тут рассматриваю другую исходную предпосылку: возможно ли как-то ограничить активность ботов, а если возможно, то как именно, чем будет за это заплачено в плане удобства или не удобства регистрации, насколько приемлемо для владельца сайта. Поэтому и предложил возможность в продукте настройки масок для всех полей, чтобы владелец сайта мог выбрать, что ему задействовать и нужно ли это делать.
Цитата
Алексей Тарасов пишет: Модуль завершения регистрации, насколько я помню, создан от проблемы с отдачей мыла соцсетями, адреса и т.п.
- Да. И, мне показалось, что его было бы можно использовать на полную катушку для автоматизации защиты от регистрации ботами, если там можно было бы включить его использование для каждого регистрирующегося пользователя, и через стандартную форму регистрации на сайте, а не только от тех, которые приходят из соцсетей.
В этом модуле используются маски и есть возможность назвать поле. Грубо говоря, вы можете назвать поле "Напишите ответ цифрами, сколько будет два плюс три" и сделать проверочную маску на цифру 5. Считаю, что так или примерно так можно остановить ботов. Или разделить бот-человек автоматически, пусть, никого не ограничивая на этом этапе, но отправив профиль бота в группу подозрительных лиц для возможного удаления в будущем.
Алексей Комаров пишет: Потом, одним ударом (или не одним), эти пользователи напишут по одному-другому сообщению везде, где укажут хозяева, и вы ничего не сможете сделать, т.к. не будет формального критерия отделить их пост от поста реального человека.
Да ну? А время создания постов? Удалю только пользователей которые создали сообщения в час X.
Цитата
Алексей Комаров пишет: В автоматизации процесса тестирования на разделение бот-человек.
Можно десяток более простых тестов придумать без всякого заполнения чего бы-то ни было.
Цитата
Алексей Комаров пишет: - Считается, что это индусы разгадывают. Они понимают только латинский шрифт капчи. Русские буквы капчи не знают и читать "чему равно два плюс два" не умеют.
Банально порносайт с капчей на просмотр. Ну а капча естественно проброшена с нужного ресурса.