1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

Прощай капча

Тема в разделе "OFF-топик", создана пользователем лиса, 26 окт 2014.

Загрузка
  1. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    В продолжении этой темы.
    Я не занималась специально темой про капчу, получилось всё само собой. Решила я снизить нагрузку на сервер от визита многочисленных ботов, сканеров и качалок. Следствием чего на сайте сформировалась система защиты сайта от непрошеных гостей. Создавалась система под решение конкретных задач, отсюда всё в ней работоспособно.
    О всей системе писать не буду, её защитная сила в оригинальности. Расскажу о том как без капчи отделить ботов от людей. Отмечу, что приводимое ниже решение, это простейший рабочий вариант, совершенствуя который можно повысить степень защищённости сайта.
    Алгоритм отделения ботов от человека заключается в следующем

    1. Создаётся невидимая для человека ссылка, которая ведёт к файлу, например, "admin", где IP-адрес бота будет забанен. Ссылку можно разместить в любом месте сайта или на всех страницах, например, в навбаре. Что бы ссылку было не видно, присвоим ей стиль "display:none".
    <a style="display:none;" class="menu" href="http://$_SERVER[HTTP_HOST]/admin/admin.php">логин</a>
    Стиль ссылки можно скрыть в названии класса. Для этого к классу menu добавим класс с любым названием, например
    <a class="menu mod" href="http://$_SERVER[HTTP_HOST]/admin/admin.php">логин</a>
    В таблицу стилей добавим строчку
    .mod{display:none;}

    2. В корне сайта размещаем ПХП скрипт в файле admin.php, который будет записывать IP-адрес бота в файл .htaccess. При этом не важно как бот "найдёт" указанный файл, через ссылку или сканированием сайта - итог один, бан. При следующем обращении к сайту сервер откажет забаненому боту в доступе к сайту.
    ПХП скрипт

    Код:
    <?php
    
    /*
    *--------------------------------------------------------
    * Модуль antiskaner V1.0.7  2013-11-07
    * Copyright(C) Vizantium  http://www.vizantium.net
    *--------------------------------------------------------
    * Модуль предназначен для ограничения доступа к сайту
    * сканирующих машин.
    * Принцип работы в том, что при обращении к определённому
    * файлу с данным кодом гость блокируется по ip-адресу через
    * файл .htaccess
    * IP-адрес заблокированного прописывается в файл .htaccess
    * по алресу указанному в этой строке
    * $f = fopen($_SERVER['DOCUMENT_ROOT'] . '/forum/.htaccess', "a");
    * В каталоге с файлом создаём текстовый файл ip.txt, где скрипт
    * файла будет вести записи о блокировке IP-адрес.
    * Старые записи в файле .htaccess желательно временами удалять,
    * чтобы не нагружать сервер
    *--------------------------------------------------------
    */
    header($_SERVER["SERVER_PROTOCOL"] . "403 Access forbidden");
    header("Status: 403 Access forbidden");
    
    /* Ip-адрес пользователя. В настройках разных серверов он может
    содержаться в разных переменных. Здесь нужно вставить именно
    ту, которая будет содержать реальный адрес пользователя. */
    $USER_IP = getenv ("REMOTE_ADDR");
    
    /* Запись Ip-адреса в текстовый файл */
    $log = fopen("ip.txt", "a+");
    fwrite($log, "\n " . $USER_IP . "  дата:" . date('Y-m-d/H:i:s'));
    fclose($log);
    /* Баним по Ip-адресу в файле .htaccess */
    $site = fopen($_SERVER['DOCUMENT_ROOT'] . '../.htaccess', "a");
    fwrite($site, "\n# " . date('Y-m-d H:i:s') . "\ndeny from " . $USER_IP);
    fclose($site);
    echo "<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Strict//EN \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd\">";
    echo "<html xmlns=\"http://www.w3.org/1999/xhtml\" lang=\"en\" xml:lang=\"en\">
    <head>
    <title>Access forbidden!</title>
    <link rev=\"made\" href=\"mailto:support@vizantium.net\" />
    <style type=\"text/css\">
    body {color: #000000; background-color: #FFFFFF;}
    a:link {color: #0000CC;}
    p, address{margin-left: 3em;}
    span {font-size: smaller;}
    </style>
    </head>
    <body>
    <h2>Error 403</h2>
    <h1>Access forbidden!</h1>
    <p>
    You don't have permission to access the requested object.
    It is either read-protected or not readable by the server.
    </p>
    </body>
    </html>";
    exit();
    ?>
    Боты в отличии от людей будут видеть ссылку и по ней обязательно получат запрет на посещение сайта.
    Однако, среди ботов есть и полезные, те что от поисковиков. Этих ботов необходимо защитить от бана. Для этого в директорию с файлом admin.php поместим файл .htaccess следующего содержания.

    Код:
    DirectoryIndex admin.php
    
    Options +FollowSymlinks
    RewriteEngine on
    RewriteBase /
    RewriteCond %{HTTP_USER_AGENT} Mail\.Ru [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} Yahoo [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} bingbot [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} YahooSeeker [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} msnbot [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} StackRambler [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} Yandex [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} Googlebot [OR]
    RewriteCond %{HTTP_USER_AGENT} SearchBot [NC]
    RewriteRule  ^(.*)$  / [R=301,L]
    
    # Заголовок Cache-Control
    <IfModule mod_headers.c>
    Header append Cache-Control "no-store, no-cache, must-revalidate"
    </IfModule>
    
    # Заголовок Expires
    <IfModule mod_expires.c>
    ExpiresActive On ExpiresDefault "now"
    </IfModule>
    
    ## PREVENT VIEWING OF .HTACCESS
    <Files .htaccess>
      order allow,deny
      deny from all
    </Files>
    В USER_AGENT перечислены боты поисковиков, которым разрешено посещать сайт. Список ботов можно уменьшать или увеличивать.
    В большинстве случаев достаточно указать USER_AGENT, но для Гугля этого недостаточно, потому что от поисковика ходят браузеры. Для полной защиты Гугля от бана добавим в файл .htaccess IP-адреса Гугля
    Код:
    DirectoryIndex admin.php
    
    Options +FollowSymlinks
    RewriteEngine on
    RewriteBase /
    RewriteCond %{HTTP_USER_AGENT} Mail\.Ru [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} Yahoo [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} bingbot [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} YahooSeeker [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} msnbot [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} StackRambler [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} Yandex [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} Googlebot [OR]
    RewriteCond %{HTTP_USER_AGENT} SearchBot [NC]
    RewriteRule  ^(.*)$  / [R=301,L]
    
    RewriteEngine on
    RewriteCond %{REMOTE_ADDR} 209\.85\. [OR]
    RewriteCond %{REMOTE_ADDR} 72\.14\. [OR]
    RewriteCond %{REMOTE_ADDR} 66\.249\. [OR]
    RewriteCond %{REMOTE_ADDR} 64\.68\. [OR]
    RewriteCond %{REMOTE_ADDR} 66\.102\. [OR]
    RewriteCond %{REMOTE_ADDR} 64\.233\. [OR]
    RewriteCond %{REMOTE_ADDR} 216\.239\.
    RewriteRule  ^(.*)$  / [R=301,L]
    
    # Заголовок Cache-Control
    <IfModule mod_headers.c>
    Header append Cache-Control "no-store, no-cache, must-revalidate"
    </IfModule>
    
    # Заголовок Expires
    <IfModule mod_expires.c>
    ExpiresActive On ExpiresDefault "now"
    </IfModule>
    
    ## PREVENT VIEWING OF .HTACCESS
    <Files .htaccess>
      order allow,deny
      deny from all
    </Files>
    В завершении для ведения статистики забаненых адресов в директорию с файлом admin.php добавим текстовый файл ip.txt

    Вот и всё. Вначале эксплуатации желательно просматривать лог файлы сайта на случай бана у робота поисковика, что возможно при наличии ошибок в файлах и в наименованиях роботов.

    После того, как убедитесь, что боты не могут попасть на ваш сайт, капчу можно убрать с сайта.
    Не забывайте удалять накопившиеся IP-адреса ботов из файла .htaccess, который находится в корне сайта.
     
    Последнее редактирование: 26 окт 2014
    Mirovinger нравится это.
  2. SrDEN

    SrDEN Местный

    Регистрация:
    29.08.14
    Сообщения:
    114
    Симпатии:
    52
    Версия XF:
    1.5.0
    Плохой пример. Не буду говорить о том что не желательно давать скриптам писать в htaccess, а предположу такую заподлянку, кто-нибудь узнает о такой штуке и возьмет прогонит ссылку на admin.php через укорачиватель ссылок, и даст её твоим форумчанинам, и что в итоге? А то что все позабанятся без твоего ведома.
     
    Kolya groza morey нравится это.
  3. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Правильно, потому, что этого делать не потребуется, скрипт сам запишет. У меня это он делает несколько лет. Вот, по поводу удаления записей, то это только в ручном варианте.
    Предполагать можно можно всё что угодно, но я же написала, что этот вариант можно совершенствовать.
    Если уверены в своём предположении, то придумайте, что-нибудь, что бы избежать этого.
     
  4. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.448
    Симпатии:
    3.271
    Версия XF:
    1.5.9
    Да правильно он написал. Это по сути баг. Причем очень критичный. По факту и сам админ забанится в таком случае влегкую. Избежать этого - не изобретать такой велосипед в принципе. Вообще использование htaccess для такой цели - это для нагруженного проекта может оказаться смертельным. Если уж так хочется банить, то для этого есть файервол. Естественно, шаред хостинги в этом с лучае идут лесом. Но мы ведь говорим не о домашних страничках?

    Ну а самое лучшее средство для корректной регистрации - это подтверждение по СМС. Естественно, это платно. Зато привязка железная. Да и восстановление пароля в этом случае также безопасное. В любом случае угнать телефон значительно сложнее, чем мыло.

    Если хочется бесплатного сыра - то вопрос-ответ - очень даже надежная система. И велосипеды в этом случае не изобретаются.
     
    Kolya groza morey и Aksim нравится это.
  5. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Это то, с чего я начинала. Ну, и пришёл бот, просканировал вопросы, потом боты проходили без проблем. Придумывать новые вопросы нет времени.
    Это как нужно изловчится?
    Назовите файл register.php, а в .htaccess пропишите свой IP-адрес. Но, эти предположения экзотика какая-то.
    Я назвала файл admin.php, потому что заметила, что программы, которые приходят на сайт, ищут этот файл. Как бы, что бы не "простаивал" файл, у него двойное предназначение
    То есть, сами предположили, сами и ответили.
    Снова, МОЖЕТ, а может и нет, а если может, то отключить можно.
    Пробовать надо. На моих сайтах боты создавали такие нагрузки, что даже превышали лимиты по нагрузке, отведённые мне хостером. Теперь критичные превышения нагрузки на сервер отсутствуют.
    Хорошо, что хостер у меня попался не нервный и у меня было время, что бы убрать ботов с сайта, а вы пишите с точностью наоборот, что боты приносят меньше вреда, когда им дают возможность ходить по сайту.
    Зачем же, так пренебрежительно отзываться о тех, кому не дано. Есть такое понятие, как оптимизация работы сайта. Если этим не заниматься, то проблемы с нагрузками будут и на своём сервере. Иначе, решить проблему с нагрузкой на сервер можно по другому, заплатив хостеру больше денег, в таком случае, изобретать велосипед не нужно.
    Во первых, мне всегда было не понятно, зачем городить на входе преграды для людей, решая за их счёт свою проблему с ботами. Мне не понятна эта игра, когда одни изощряются с капчёй, а другие её взламывают.
    Во вторых, я ухожу с тех сайтов, где от меня требуют номер моего телефона. Это надо быть безбашенным, что бы "засевать" интернет сведениями о себе. Очевидно, вам мало фишинговых сайтов.

    Однако, тема не о том, какая капча лучше, а о том, что лучшая капча та, когда её нет на сайте.

    значение.
     
  6. SrDEN

    SrDEN Местный

    Регистрация:
    29.08.14
    Сообщения:
    114
    Симпатии:
    52
    Версия XF:
    1.5.0
    Такое пробовали?
    http://www.xf-russia.ru/forum/threads/modifikacija-vstroennoj-sistemy-vopros-otvet.2132/

    У меня не одной левой регистрации. Капчи нету.
     
  7. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Не пробовала.
    Надёжность капчи обратно пропорционально от её распространённости. Самая примитивная капча в единичном экземпляре по надёжности превзойдёт самую навороченную капчу. Чем капча популярнее у админов, тем она привлекательнее для злоумышленников.
    На моих сайтах нет регистраций ботами. Такой проблемы с регистрацией нет у меня много лет.
    Вначале темы я написала, что этот вариант с защитой сайта, без капчи, у меня получился случайно при решении одной их задач.
    А так я использовала эту капчу.
     
  8. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.448
    Симпатии:
    3.271
    Версия XF:
    1.5.9
    Если подходить к делу серьезно, то о шаред хостинге можно просто забыть. И оптимизировать на шареде - это сродни изобретению велосипедов. Ну а то, что Вы предлагаете, это может способствовать к отстрелу собственной ноги. Могу только удачи пожелать в борьбе.

    Я понимаю, что СМС - это совсем не для каждого проекта. У меня проект, связанный с материальными ценностями, поэтому для меня СМС вполне подходит. Для простого тематического сайта СМС, конечно же, будет излишен. Я не знаю, насколько у Вас популярный ресурс, но уверен, что ручное подтверждение регистраций отнимет не так уж и много времени, если этим заниматься ежедневно.
     
  9. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Вновь за своё взялись, кошмарить тех, кто не с вами. Выбор варианта хостинга определяется потребностью в нём, когда невозможно решить появившуюся проблему без смены хостинга - это моя точка зрения.
    А чего в кавычки не взяли крылатую фразу, или на самом деле без ноги останусь.
    Дело в целесообразности. К примеру, на моих форумах есть разделы, в которых регистрация не требуется. Вводить регистрацию ради того, что бы зловредные боты не прошли на форум, это неправильно, грамотнее будет только ботам ввести запрет на публикацию без регистрации.
    Я же писала не раз, что у предлагаемого способа большие возможности для развития. Ну, боитесь стать безногим инвалидом, так не баньте роботов, а тем, кто "скушает" скрытую ссылку предложите пройти капчу.
     
  10. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.448
    Симпатии:
    3.271
    Версия XF:
    1.5.9
    Да нет же. Я боюсь, что кто-то реализует Ваше решение, а затем какой-нибудь школьник поломает сайт. В результате будут потом на каждом углу орать, что XenForo дырявый и/или не защищен от атак.

    Ваше решение небезопасно как в общем, так и в частности. Возможности для организации огромной дыры в безопасности - безусловно, огромнейшие. А развитие изначально инвалидного решения - это не разумно. Но, как я уже говорил, дело Ваше - сами себе и отстреливайте ногу :)
     
  11. Kolya groza morey

    Kolya groza morey Местный

    Регистрация:
    14.06.13
    Сообщения:
    321
    Симпатии:
    107
    Версия XF:
    1.5.9
    Я не понимаю зачем ботам переходить по каким то ссылкам в регистрации, они же должны форму заполнить и отправить соответствующий пост запрос. А если он будет проходить по ссылкам это уже будет недоработка алгоритма.
    Тогда цель этих ботов не спамить, а подобрать пароль к админке.
    в Некоторых случаях и взламывать ничего не приходиться, бот сканирует капчу передает его на сайт, где школьники вводят ети капчи и передают боту, за что получают свои копейки.
     
  12. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    999
    Симпатии:
    543
    Версия XF:
    1.4.4
    Проблемы возникнут при большом числе записей в htacccess - apache (использовать его уже моветон, к слову) будет просто лежать на распарсинге файла для проверки ip. А вообще велосипед знатный - если такие проблемы с ботами, можно на форум CloudFlare нацепить - он всех отсеет сам без капчи. А конкретно в XF вообще этот костыль смысла не имеет - раньше был аддон, а сейчас из коробки StopForimSpam прикручен + скрытые поля в форме регистрации - ботов и так нет.

    PS. Нормальный регистрационный бот по ссылке admin.php не полезет - он будет искать /register, /reg, register.php и т.п. Вы бы попробовали ссылку свою "чудодейственную" удалить на время и блокировки очистить - я так думаю ботов от этого на форуме и так не появится, и не потому что все были заблокированы, а потому что их и так не было или движок из коробки справился с ними.
     
    Kolya groza morey нравится это.
  13. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    То есть, при продаже движка не спрашивают паспорт, это, конечно, плохо. Школьники могут поломать форум.
    То есть, вы являетесь специалистом по таким делам, так продемонстрируйте сказанное вами, милости прошу в Византиум.
    Вначале идёт сканирование форума и роботы хватают всё подряд. Если им воспрепятствовать в этом, то не будет результата сканирования и возможно не будет попыток регистрации. По крайней мере, на этом этапе результат в том, что роботам не удаётся создавать не рабочую нагрузку на сервер.
    Такая проблема есть, поэтому приходится чистить файл .htaccess лт записей адресов - где-то раз в месяц, где-то раз в неделю.
    Это совсем не то. скрытые поля можно вбить в память робота, тем более этой ловушкой оснащён серийный движок форума, а бота могут зарегистрировать и вручную. Дальше проблем не будет у робота, если на модератора случайно не наткнётся.
    Так переименуйте название файла, более того, ссылку на настоящий файл регистрации можете спрятать за 302 редирект. Во-первых, боты не умеют ходить по редиректам, второе название файла в ссылке может быть любое.
    Этот метод для вас.
    Я шла от обратного, вначале были боты, потом защита от них. Хотя, от части вы правы, поскольку боты вечно не тусуются у входа на сайт - не получилось они пошли к другому сайту.
    Серьёзно сайтом злодеи займутся, когда обнаружат уязвимость, ради принципа не будут тратить время на поиск путей обхода защиты.
     
  14. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.448
    Симпатии:
    3.271
    Версия XF:
    1.5.9
    Пожалуйста, читайте внимательно то, что я Вам написал. Все несколько иначе. Но в принципе да, зная или догадываясь о методах "защиты", используемой на Вашем ресурсе, школьник сможет организовать с высокой степенью вероятности успешную атаку.
    Я не говорил, что я специалист по вопросам безопасности. Опять таки, читайте внимательно. Я лишь выразил свое мнение, которое основывается на моем опыте. И да, у меня есть некоторые знания и в этой области в частности. Но я не могу считать себя экспертом. Могу выступать, как бывший админ, если так можно выразиться.
    Грамотные боты как раз очень хорошо умеют ходить по редиректам :)
     
    Kolya groza morey нравится это.
  15. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    999
    Симпатии:
    543
    Версия XF:
    1.4.4
    Я бы вот с радостью, но... https://yadi.sk/i/gICozRuUcKJec
    Что? По вашей же терминологии - когда вас боты сканируют в поисках формы регистрации, у вас уже создается нагрузка. И никуда вы от нее не денетесь.
    Да что вы? А я вот скажу что у полей случайные названия каждый раз из-за этого их внесение "в память" бота не представляется возможным.
    Ну если сидеть на такой "свежести" версии 3.7.0 как у вас, то действительно - шансов от ботов никаких.
    У вас на форуме миллиард сообщений, что спам от него не видно? Или 0.5 модератора раз в месяц?
    :eek:
    И что? Он и с любым названием найдет. Для пользователя ссылку вы так или иначе укажете в прямом виде - иначе пользователь не будет знать где регистрация. А значит и бот ее найдет.
    Да никуда они не "ушли" - а так и лазят по сайту вашему.
    Нужен ваш сайт кому... Мне тут анекдот вспомнился:

    Городок в западно-американской степи. Салун. За столом сидят два ковбоя, местный и приезжий, и пьют виски. Вдруг по улице кто-то проносится на огромной скорости, паля во все стороны из пистолетов. В салуне никто и ухом не ведёт. Приезжий местному:
    — Билл?
    — Да, Гарри?
    — Что это было, Билл?
    — Это был Неуловимый Джо, Гарри.
    — А почему его зовут Неуловимым Джо, Билл?
    — Потому что его никто ещё не поймал, Гарри.
    — А почему его никто ещё не поймал, Билл?
    — Потому что он нафиг никому не нужен, Гарри.

    Вообще, в разговоре этом нет никакого смысла - ваш костыль родом прямиком из 90-ых годов, равно как и суждения.
     
    Kolya groza morey нравится это.
  16. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    А ничего, что я не скрываю того, как работает защита, коды файлов показываю - бери и ломай форум.
    Всё очень просто. Даже, зная, как работает защита, обойти её не получится, поскольку защита многоуровневая. Много раз пишу уже, что метод рабочий, но есть возможность усовершенствовать его.
    Каким, же, образом файл не имеющий отношения к скриптам форума может послужить злоумышленникам для
    Грамотные роботы ни разу не смогли пройти или не стали проходить склейку доменов с WWW и без, организованную на 301 редиректе. Мне пришлось делать отдельную защиту от ботов, заходящих на сайт с адресом без WWW.
    --- добавлено : 27 окт 2014 в 15:44 ---
    Бамц...,, вот, видите, сработала защита. На самом деле регистрация не закрыта. Сработала защита и закрыла регистрацию. Подскажу, при регистрации необходимо использовать свой IPадрес.
    Две три ссылки и стоп боту. Чем выше ссылка на странице тем быстрее бот её скушает. Если убрать защиту то бот пройдёт по всем ссылкам на форуме и сделает это за одну две секунды. Вот и представте, что сделает хостер со мной и моим сайтом.
    А вы уверены? Вроде б давно известна аксиома не верить тому, что написано на заборе.
    Во всяком случае спасибо, поскольку на это был расчёт и вы попали во вторую ловушку.
    Вы просто не отбивали атаки ботов, а мне пришлось в праздник биться с этой армией железяк. После десяти часов борьбы с ботами мне было уже всё равно. Не хочу повторения такого.
    Очевидно, вы не работали с редиректами, поэтому не знаете, что при определённых условиях настоящий адрес файла не показывается в браузере.
    Это вы для своего успокоения решили себя анекдотом побаловать.
     
    Последнее редактирование модератором: 4 ноя 2014
  17. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.448
    Симпатии:
    3.271
    Версия XF:
    1.5.9
    Эх, ладно. Запишу Ваш метод во вредные советы.

    P.S. Хочу обратить внимание тех, кто все же будет пробовать использовать подобный метод "защиты" от ботов. Данный метод является одним из очень велосипедистых велосипедов, который может привести к потере контроля над сайтом. Поэтому обязательно подстрахуйтесь: потренируйтесь работать с консолью, а также с файловым менеджером шаред хостинга. Если вдруг Вас забанил собственный сайт, то переименуйте, либо удалите файл .htaccess. Также после разблокирования проверьте в логах на предмет подозрительной активности, так как, возможно кто-то "пошалил" на Вашем сайте.
     
  18. Romchik®

    Romchik® The Power of Dreams Команда форума

    Регистрация:
    26.09.10
    Сообщения:
    5.736
    Симпатии:
    5.263
    Версия XF:
    1.5.10
    @Exile так ты бот оказывается :sneaky: Может и здесь тебя закрыть :D
     
  19. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Он на боте ездит. По сайту может путешествовать на своей лошади, а на регистрацию его не пустили.
    --- добавлено : 27 окт 2014 в 16:39 ---
    А чего вам остаётся
    Romchik, обещал "закрыть" тех, кто не сможет пройти защиту Византиума.
     
    Последнее редактирование модератором: 4 ноя 2014
  20. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    999
    Симпатии:
    543
    Версия XF:
    1.4.4
    Я конечно крайне извиняюсь, но я сижу со своего белого IP, у меня нет прокси и никаких модифицирующих заголовки программ. То есть вы меня, как нормального пользователя, просто отпугнули от своего сайта. Исключительно потому, что я просто хотел зарегистрироваться, а мне это сделать не дали. Отлично сработано :thumbsup:
    Не могу такого гавнохостера и представить. Который за 2 запроса в секунду что-то сделает.
    Ну в случае с булкой это достаточно легко проверяется, вы конечно можете и дальше рассказывать про прелести локализации, но смотрят иначе.
    Я занимаюсь поддержкой крупных сайтов с 2007 года. Так называемые "школодос"-атаки у меня были и не единожды, более того, были и настоящие крупные DDoS-атаки на один из самых посещаемых сайтов области. И помимо прочего, это был торрент-трекер, который постоянно находится под естественной "атакой" с тысячами запросов от торрент-клиентов в секунду. Поэтому я прекрасно знаю как бороться с ботами и основное правило при этом - не бороться на уровне скриптов. Потому что если борьба на уровне скриптов что-то может сделать - вы никогда не видели настоящую атаку. Когда вы не можете пробиться к серверу только потому, что канал закончился из-за числа атак к нему.
    Куда там мне... Через X-Accel-Redirect в nginx я могу статику отдать так, что вы не узнаете откуда файл взялся, вот только одно маленькое отличие - у вас не статика, а значит я могу в автоматическом режиме читая заголовки понять куда и зачем идет редирект.

    Для чистоты эксперимента я могу публично скинуть все заголовки браузера, информацию об IP, наличии прокси и т.д. - а вы исходя из данных сведений объясните, на каком основании меня ваш скрипт отнес к "ботам". И только после этого можно будет поговорить о праве на существование такого метода "защиты" - сейчас я вижу только потерю пользователей.
     
    Yoskaldyr нравится это.

Поделиться этой страницей