reCAPTCHA от Google для сайтов системы uCoz up. 1-2017

Ранее на одном сайте была проблема со спам-ботами, решил тем, что сделал арифметический тип капчи. Эти боты массово регистрировались на сайте с локальной регистрацией, делали темы на форуме (ранее не было еще ограничения на создание тем лишь после набранного количества сообщений), не давали слова вставить в чат - постоянно его забивали. После включения арифметической капчи они заткнулись и регистрироваться массово перестали. Казалось бы всё на этом, но что-то пошло не так, с 12-01-2017 6:02 AM начали забивать мини-чат учётные записи этих спам-ботов, которые успели зарегистрироваться и до этого момента молчали. Что-то мне подсказывает, что ранее системная настройка капча для группы Пользователи была убрана (или как-то был ограничен фильтр этих спам-сообщений "на лету"). К сожалению, не имею доступа к этому сайту, о котором говорю, в прошлый раз решал этот вопрос с тех. поддержкой, пошли навстречу и включили арифметическую капчу. Видимо, придётся повторно обращаться за помощью.

---

UPD.: при более детальном анализе понял, что это уже новореги добавляют спам-сообщения в мини-чат, а значит всё еще печальнее, чем показалось сначала - обходят арифметическую капчу уже (и выходит, что все остальные - уже попросту лишены смысла, наличие их - это забитый мини-чат спамом, куча "левых" аккаунтов в базе учётных записей)... также не ясно почему еще 30-10-2016 5:52 AM была на сайте включена отправка сообщений из Гостей, а спустя стало недоступным и начало требовать авторизацию (напомню - доступ к ПУ сайта утрачен, стало быть это со стороны uCoz настройки идут, как и те же ограничения, которые были по умолчанию введены включенными, что для того чтобы темы можно было делать - нужно сперва набрать сообщений, я это к тому, что галочка включена, а снять ее и нет кому... с одной стороны хорошо, что меньше спама, а с другой - не очень, так как опять настройки делаются сами в обход первоначальных настроек)... с мини-чатом тут вообще ситуация такая получается, что раз эти упёртые спам-боты хотят загадить мини-чат, то лучше бы возможность оставлять сообщения была из гостей, глядишь учётные записи для этих целей перестали бы делать (или попросту меньше)... сейчас уже, видимо, придётся везде reCAPTCH'у делать, глядишь поможет.

P.S.: Пока писал всё это, придумал вот чего, а именно почему бы не сделать инструмент, который бы не просто производил подмену символов в том же мини-чате, а просто не давал отправлять сообщения, если в нём указанные символы присутствуют? Было бы полезно, чтобы спамеров заткнуть.

---

Ну, а что капчи еще касается - вот здесь уже успел высказать свои мысли на этот счёт, пришёл к выводу, что было бы круто, если бы капчи разные были в разных местах, то есть на той же странице регистрации - самая сложная, а далее уже для потенциальных людей, так сказать, прошедших первую инстанцию по аутентификации - капча простая или вовсе ее отсутствие. Сейчас, к сожалению, в uCoz такого нет, когда выбираешь капчу - она для всего сайта потом.

Также несколько мыслей по поводу тех, кто регистрируется: вот здесь писал, что не хватает механизма, который бы позволил просто-напросто запрещать регистрацию (или же активность) "пользователей" из неугодных стран, ведь согласитесь, что если бы он был - можно было бы значительно сократить количество машинных регистраций и тех, которых вообще быть не должно на вашем сайте (спам-боты, из всяких проксей, анонимайзеры и так далее, взять те же страницы списка пользователей - поставить сортировку по стране и смотреть (ибо поле страны автоматом предлагается при регистрации исходя из IP, а боты ее не меняют), еще и города вписаны не те, которые в этих странах находятся - это как совет тем, кто чистит и блокирует учётные записи нерадивых).

Проблема вообще комплексная и нужен комплексный подход, чтобы эффективно бороться с нежелательными записями от спам-ботов, было их отсутствие в списках пользователей сайта, а также не было причинено беспокойства потенциальным пользователям и посетителям вашего сайта (а не так, что приходиться отпугивать всякими мудреными капчами их из-за того, что эти капчи предназначены дабы отвадить спам-ботов, когда в идеале - достаточно на странице регистрации сделать самую сложную капчу, отфильтровать по IP, оставив лишь потенциальную аудиторию из пользователей тех стран, на которых сайт и рассчитан, а всякие дополнительные капчи - уже излишними становятся по факту, они уже лишь могут быть раз предложены при авторизации, чего вполне достаточно... как ограничение по количеству отправляемых сообщений, скажем, за заданный временной отрезок - они уже не годятся, хотя и могут использоваться - человеку приходиться капчу вводить, на это время тратиться же).

Про это я знаю (знаю и как происходит отправка сообщений в комментариях), я говорил о конкретно подмене символов в том же мини-чате, там в ПУ вписывается. Как показали недавние события - ничего оно не определяет злонамеренного в мини-чате, на сайтах забиты мини-чаты спамом (то есть ждать, пока вы среагируете). Можно было бы инструмент сделать таким образом: в поле вписывается то, что нужно запрещать, если вписано, скажем, просто слово "porn" - сообщение, содержащее его, не добавляется вообще, если в поле вписано "porn=xxxx", то происходит подмена... как-то так, это как предложение (это же касается и гостевой, то есть чтобы были аналогии с инструментом блокировщика www, который, кстати, довольно ограничен и требует доработки - к примеру, лимиты на количество строк).
А еще вот вопрос, который уже поднимался - почему нет полного запрета на активность аккаунта с неподтвержденным e-mail (независимо куда - на форум, в комментарии или в чат)? Я понимаю почему его там нет, так как записи в мини-чате - это не считается за активность аккаунта, не выводиться в профиле же... таким образом сейчас и забивают мини-чат спам-боты, имея неподтвержденные учётные записи (с одной стороны - плохо, что такое имеет место быть, а с другой - и неважно, так как уже обходят арифметическую капчу и подтверждение e-mail делают же, а следовательно спам был бы всё равно: тут уже капча всё решает, а не подтверждение). Тогда хотя бы наличие флага, указывающего на то, что пользователь подтвердил e-mail аккаунта - было бы кстати, наверное, чтобы можно было, к примеру, форму отправки сообщений убрать в том же мини-чате.

Если у вас сайт с локальной формой регистрации и стоит арифметическая капча, и пока нет машинных регистраций - есть большая вероятность, что скоро они там появятся (пишу исходя из того, что есть пример сайта у меня, где пока еще не наблюдается такого, а на остальных - уже понеслась забивка спамом)... я это к тому, что есть смысл перейти на новую капчу уже сегодня, хотя решать вам, конечно же. Остается надеяться, что разработчики uCoz "пофиксят" ту же арифметическую капчу, например, сделают там другие картинки какие-то (чтобы сложнее распознать было) и(или) поменяют на операции x\: - типо (45-1) x 2 (думаю, что там уже какой-то подбор пошёл, ведь там ограниченный набор, видимо, операций был по +\- - одни и те же вычисления)... иначе смысла от капч остальных не вижу уже.

Еще пункт один забыли - отключение модуля Пользователи. А если серьезно - умничать не стоит, если спам-боты начали обходить арифметическую капчу - тут уже ничего пока не поделаешь, приходиться переходить на новую эту. Большая часть вами написанного присутствует по умолчанию изначально включенным, спам-боты регистрируются уже обходя эту капчу арифметическую (1 и 2 пункт сразу отпадает... если не дописать, то капча должна быть самой-самой сложной, то есть "админы сами допускают лёгкие пути регистрации и постинга сообщений" © mrx), подтверждение e-mail спам-боты делают (лично я всегда делаю запрет на активность пользователей с неподтвержденными e-mail и блокировка повторных, чтобы под одним и тем же мультиаккаунтов не было), что касается обязательного наличия аватарки, что якобы отвадит машинные регистрации - это миф (вероятней всего, ранее оно помогало или же просто ограничивало, но, увы, не сейчас и уже давно как - проверял все способы защиты, после просто все аккаунты спам-ботов будут с аватарками)... закрытие от индексации ссылок и отключение www в подписях и профилях - тоже мало имеющий значение факт, поскольку спам-аккаунты эти просто находятся в базе зарегистрированных, а что у них там в подписи и в поле www - активность они всё равно не могут делать, ибо вот в моём случае вообще комментарии не задействованы, есть модуль форум, и есть мини-чат, последний они забивают своим спамом, как и написал (фишка в том, что в мини-чат все писать могут имея неподтвержденный e-mail, а капчу арифметическую обходят же уже... это же и для комментариев, оставленных из под гостей - ясное дело, что нужно переводить сайт на новую капчу теперь, если на сайте у гостей есть возможность оставлять записи, а наличие отдельной капчи по месту, как говорил, было бы ой как кстати). Действующий способ действительно способный оградить я изложил, всякие ограничения, которые накладываются на посетителей и пользователей - сокращены должны быть. Кстати, вот еще способ - у кого сайт забивают спамом, просто сделайте группу какую-то ниже Пользователь, к примеру, Новичок, урежьте права по минимуму, а после чтобы был авто-перенос в группу повыше, или сами переносите (исходя из того какой у вас сайт... к примеру, на форуме Drinko еще советовал там дать возможность выбора группы при регистрации - пробуйте). Так можно будет капчу оставить сложную эту лишь для этой "карантинной" группы (конечно муторно, но преимущества такой защиты очевидны).

Кто же вам виноват, что вы не поняли смысла мной написанного, начинаете тут акцентировать внимания на моих сайтах, якобы у меня что-то не вышло (зачем мне вам что-то объяснять вообще? почитайте еще раз написанное, найдёте пару ссылок, на предложения не только от меня). Суть предложения в том, что должна быть первоначальная инстанция, которая бы прихлопнула машинные регистрации (может быть и reCaptcha эта при регистрации, да... один раз ввести и забыть потом про нее... ну, возможно, еще каждый раз при авторизации - зайти в аккаунт, сохранить сессию в браузере и капчи вообще не вводить никакие потом... тут же и простая какая-то капча может быть, но в uCoz такого нет же, как ниже написал), а вы пишете, что я советую навязать чего-то админам. "несколько тысяч пользователей" © mrx - и сколько из них действительно людей? Вам просто наплевать, видимо, что в базе зарегистрированных находиться всякий "мусор" из машинных регистраций (и как вы вообще не понимаете, что если уже зарегистрировались спам-боты - значит уже миссия провалена, сдали свои позиции, то есть - уже нужно вводить дополнительные пункты из вашего списка, которые тем самым исключают возможности для пользователей, вот пример). И по факту я не единственный метод борьбы и предложил, а комплексный подход, ну да ладно, распинаться перед вами смысла не вижу, ничего ведь не поняли. На форум зайдите и почитайте проблемы других людей, как вариант, чтобы понять в чём сейчас проблема обстоит. Сколько этих капч еще предложат нам в дальнейшем - не ясно даже (когда по факту нужно сделать, чтобы еще до регистрации аутентификация была или в процессе, чтобы никакой спам-бот не пробрался, а не ввод мудрёных капч для людей).
"Есть много других методов борьбы с этим явлением." © mrx - а кто это опровергал? Вот еще тогда просили, как пример, но в uCoz, видимо, просто решили вводить каждый раз новую капчу, посложнее (на замену предыдущей, ага)... а также "нельзя всех грести под одну гребёнку" © mrx - вот и думайте, все ли пользователи системы будут мудрить разные способы защиты от спама, особенно если почитать ниже мной изложенное - видимо, в uCoz проще баны раздавать и модули заспамленные отрубать, чем проработать страницу регистрации/авторизации, как говорилось и предлагалось.

А кто вы такой, чтобы вам ссылки предоставлять какие-то? Ведь вы даже не поняли, где спам находится, а в моём случае - вообще смысл ссылку кидать на сайт, на котором доступ утрачен, чтобы кто-то жалобу накатал, и сайт оказался в вечном бане "Spam-Link at your service" или лишился того же модуля форум, как вариант - я вас умоляю, уважаемый (самоуверенный вы однако человек, считающий, раз на его сайте спама нет, то и проблемы нет, якобы кто-то что-то недонастраивал, зайдите в темы на форуме и почитайте - может, и примеры найдете, вот тут уже скрины забитого сайта спам-ботами кидали, достаточно ведь).

18.01.2017 - на одном сайте поставил reCAPTCHA, а на другом просто убрал $BODY$ из шаблона... после, где-то 20 числа, правил шаблон, добавляя ключ... вывод такой, что способ рабочий, так как на этих сайтах спам-боты за это время не зарегистрировались, тогда как на сайте с просто поставленной арифметической капчей - они продолжают регистрироваться и по сей день! Имейте это в виду, если считаете, что reCAPTCHA - единственное спасение, хотя есть и другие варианты (но всё же, если гости могут на вашем сайте записи оставлять + то же самое, если на вашем сайте не были удалены или пробанены ранее зарегистрировавшиеся спам-боты (пример) -> арифметическую капчу стоит заменить на reCAPTCHA).