Як запобігти автоматичному заповненню форми роботів?

Я намагаюся придумати достатньо хороший механізм проти спаму, щоб запобігти автоматично генерованому вводу. Я читав такі прийоми, як captcha, 1 + 1 =? речі працюють добре, але вони також представляють додатковий крок, що перешкоджає швидкому використанню програми (я не шукаю нічого подібного, будь ласка).

Я намагався встановити деякі приховані поля у всіх моїх формах, display: none; однак я впевнений, що сценарій може бути налаштований для відстеження цього ідентифікатора поля поля та просто не заповнює його.

Ви реалізуєте / знаєте хороший метод анти-автоматичного заповнення форми-роботи? Чи є щось, що можна легко виконати за допомогою обробки HTML І / АБО сервера і бути (майже) бронезахисним? (без JS як можна просто його відключити).

Я намагаюся не покладатися на сеанси для цього (тобто підраховувати, скільки разів натискають кнопку, щоб запобігти перевантаженням).

Простий у здійсненні, але не дурний спосіб (особливо щодо "конкретних" атак) для вирішення анти-спаму - це відстеження часу між надсиланням форми та завантаженням сторінки.

Боти запитують сторінку, розбирають її та подають форму. Це швидко.

Люди вводять URL-адресу, завантажують її, чекають, поки сторінка повністю завантажена, прокручуйте вниз, прочитайте вміст, вирішіть далі прокоментувати / заповнити форму, вимагайте часу для заповнення форми та подання.

Різниця в часі може бути тонкою; і як відстежувати цей час без файлів cookie потрібен певний спосіб на базі даних сервера. Це може мати вплив на продуктивність.
Також потрібно налаштувати пороговий час.

Я фактично вважаю, що просте поле Honey Pot добре працює. Більшість ботів заповнюють кожне поле, яке вони бачать, сподіваючись обійти необхідні валідатори поля.

http://haacked.com/archive/2007/09/11/honeypot-captcha.aspx

Якщо ви створюєте текстове поле, заховайте його в JavaScript, а потім переконайтеся, що на сервері значення порожнє , це знищує 99% роботів там і не спричиняє 99% ваших користувачів ніяких розладів. Решта 1%, у яких відключений JavaScript, все одно побачать текстове поле, але ви можете додати повідомлення типу "Залишити це поле порожнім" для таких випадків (якщо ви їх взагалі хвилюєте).

(Також зауваживши, що якщо ви робите style = "display: none" у полі, то роботові надто просто бачити це та відкинути поле, саме тому я віддаю перевагу підходу javascript).

Що робити, якщо Бот взагалі не знайде form?

3 приклади:

1. Вставте форму за допомогою AJAX

• Якщо ви все добре, якщо користувачі з вимкненим JS не мають можливості переглядати / надсилати форму, ви можете сповістити їх і дозволити їм активувати Javascript спочатку за допомогою оператора nocript:

<noscript>
  <p class="error">
    ERROR: The form could not be loaded. Please enable JavaScript in your browser to fully enjoy our services.
  </p>
</noscript>

• Створіть form.htmlі розмістіть formвсередині <div id="formContainer">елемента.

• Всередині сторінки, на якій потрібно зателефонувати в цю форму, використовуйте порожню <div id="dynamicForm"></div>та цю jQuery:$("#dynamicForm").load("form.html #formContainer");

2. Формуйте форму повністю за допомогою JS

// THE FORM
var $form = $("<form/>", {
  appendTo : $("#formContainer"),
  class    : "myForm",
  submit   : AJAXSubmitForm
});

// EMAIL INPUT
$("<input/>",{
  name        : "Email", // Needed for serialization
  placeholder : "Your Email",
  appendTo    : $form,
  on          : {        // Yes, the jQuery's on() Method 
    input : function() {
      console.log( this.value );
    }
  }
});

// MESSAGE TEXTAREA
$("<textarea/>",{
  name        : "Message", // Needed for serialization
  placeholder : "Your message",
  appendTo    : $form
});

// SUBMIT BUTTON
$("<input/>",{
  type        : "submit",
  value       : "Send",
  name        : "submit",
  appendTo    : $form
});

function AJAXSubmitForm(event) {
  event.preventDefault(); // Prevent Default Form Submission
  // do AJAX instead:
  var serializedData = $(this).serialize();
  alert( serializedData );
  $.ajax({
    url: '/mail.php',
    type: "POST",
    data: serializedData,
    success: function (data) {
      // log the data sent back from PHP
      console.log( data );
    }
  });
}

.myForm input,
.myForm textarea{
  font: 14px/1 sans-serif;
  box-sizing: border-box;
  display:block;
  width:100%;
  padding: 8px;
  margin-bottom:12px;
}
.myForm textarea{
  resize: vertical;
  min-height: 120px;
}

<script src="https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script>
<div id="formContainer"></div>

3. Введення бот-приманки

• Боти, як ( дуже подобається) вхідні елементи вкладки, такі як:

<input 
  type="text"
  name="email"
  id="email"
  placeholder="Your email"
  autocomplete="nope"
  tabindex="-1"

They wll be happy to enter some value such as
`dsaZusil@kddGDHsj.com`

• Після використання вищевказаного HTML ви також можете використовувати CSS, щоб не відображати вхід:

input[name=email]{ /* bait input */
  /* do not use display:none or visibility:hidden
     that will not fool the bot*/
  position:absolute;
  left:-2000px;
}

• Тепер, коли ваш внесок не видно користувачеві, очікуйте, що в PHP він $_POST["email"] повинен бути порожнім (без будь-якого значення)! В іншому випадку не надсилайте форму.
• І, нарешті, все , що вам потрібно зробити , це створити інший вхід , як <input name="sender" type="text" placeholder="Your email"> після (!) В «бот-приманки» вхід для фактичної адреси електронної пошти користувача.

Подяка:

Developer.Mozilla - Відключення форми автозаповнення
StackOverflow - Ігнорування Tabindex

Що я зробив, це використовувати приховане поле і поставити на нього часову позначку, а потім порівняти її з часовою міткою на сервері за допомогою PHP.

Якщо це було швидше, ніж 15 секунд (залежить від того, наскільки великі чи малі у вас форми), це був бот.

Сподіваюся, що це допоможе

Дуже ефективним способом фактичного усунення спаму є наявність текстового поля, в якому є текст, наприклад "Видаліть цей текст, щоб надіслати форму!" і цей текст потрібно видалити, щоб надіслати форму.

Після перевірки форми, якщо текстове поле містить оригінальний текст або будь-який випадковий текст з цього питання, не надсилайте форму. Боти можуть читати імена форм і автоматично заповнювати поля Ім'я та Електронна пошта, але не знають, чи потрібно фактично видаляти текст з певного поля, щоб подати.

Я реалізував цей метод на нашому корпоративному веб-сайті, і він повністю ліквідував спам, який ми отримували щодня. Це справді працює!

Як щодо створення поля для введення тексту того ж кольору, що і фон, який повинен залишатися порожнім. Це дозволить вирішити проблему дисплея читання бота: жодного

http://recaptcha.net/

reCAPTCHA - безкоштовна послуга антиботів, яка допомагає оцифрувати книги

Він отримав Google (у 2009 році):

• https://www.google.com/recaptcha
• https://developers.google.com/recaptcha/

Також див

• https://en.wikipedia.org/wiki/ReCAPTCHA
• https://en.wikipedia.org/wiki/CAPTCHA для отримання більш загальної інформації

Багато з цих спам-ботів - це лише скрипти на стороні сервера, які розповсюджуються в Інтернеті. Ви можете боротися з багатьма з них, використовуючи javascript для маніпулювання запитом форми перед його надсиланням (тобто, встановивши додаткове поле на основі певної змінної клієнта). Це не повне рішення і може спричинити багато проблем (наприклад, користувачів без JavaScript, на мобільних пристроях тощо), але це може бути частиною вашого плану атаки.

Ось банальний приклад ...

<script>
function checkForm()
{
    // When a user submits the form, the secretField's value is changed
    $('input[name=secretField]').val('goodValueEqualsGoodClient');

    return true;
}
</script>

<form id="cheese" onsubmit="checkForm">
<input type="text" name="burger">

<!-- Check that this value isn't the default value in your php script -->
<input type="hidden" name="secretField" value="badValueEqualsBadClient">

<input type="submit">
</form>

Десь у вашому PHP-скрипті ...

<?php

if ($_REQUEST['secretField'] != 'goodValueEqualsGoodClient')
{
    die('you are a bad client, go away pls.');
}

?>

Також є чудові капчі, і справді найкраща захист від спаму.

Я здивований, що ніхто ще не згадав цей метод:

• На своїй сторінці додайте невелике приховане зображення.
• Під час подання цього зображення розмістіть файл cookie.
• Обробляючи подання форми, перевірте наявність файлу cookie.

Плюси:

• зручний для користувача та розробника
• видається надійним
• немає JavaScript

Мінуси:

• додає один HTTP-запит
• вимагає, щоб у клієнта було включено куки

Наприклад, цей метод використовується файлами cookie WordPress для коментарів .

З появою безголових браузерів (як Phantomjs), які можуть наслідувати що завгодно, ви не можете припустити, що:

• спам-боти не використовують javascript,
• ви можете відстежувати події миші для виявлення бота,
• вони не побачать, що поле візуально приховано,
• вони не чекатимуть заданого часу перед надсиланням.

Якщо раніше це було правдою, це вже не відповідає дійсності.

Якщо ви не бажаєте зручного для користувача рішення, просто надайте їм гарну кнопку подання "Я спамер" :

 <input type="submit" name="ignore" value="I am a spammer!" />
 <input type="image" name="accept" value="submit.png" alt="I am not a spammer" />

Звичайно, ви можете грати з двома input[type=image]кнопками зображення , змінюючи порядок після кожного завантаження, текстові альтернативи, вміст зображень (та їх розмір) або nameкнопки; що вимагатиме певної роботи з сервером.

 <input type="image" name="random125454548" value="random125454548.png"
      alt="I perfectly understand that clicking on this link will send the
      e-mail to the expected person" />
 <input type="image" name="random125452548" value="random125452548.png"
      alt="I really want to cancel the submission of this form" />

З міркувань доступності вам потрібно поставити правильну текстову альтернативу, але я вважаю, що довге речення краще для користувачів екранізаторів, ніж вважати їх ботом.

Додаткова примітка: ці приклади ілюструють, що розуміти англійську мову (чи будь-яку мову) та робити простий вибір важче для спамботу, ніж: чекати 10 секунд, обробляти CSS чи javascript, знаючи, що поле приховане, емуляція переміщення миші або емуляція введення клавіатури, ...

Дуже простий спосіб - надати деякі поля, як-от <textarea style="display:none;" name="input"></textarea>і відкинути всі відповіді, які були заповнені.

Інший підхід полягає в генерації всієї форми (або лише імен полів) за допомогою Javascript; кілька ботів можуть це запустити.

У будь-якому випадку, ви не зробите багато проти живих "ботів" з Тайваню чи Індії, яким платять 0,03 долара за одне розміщене посилання та заробляють на життя таким чином.

У мене є простий підхід до зупинки спамерів, який є на 100% ефективним, принаймні за моїм досвідом, і уникає використання reCAPTCHA та подібних підходів. Після того, як я застосував цей підхід, я перейшов від майже 100 спамів на день на одній із HTML-форм мого сайту на нуль протягом нуля.

Це працює, скориставшись можливостями ALIAS електронної пошти більшості сценаріїв обробки HTML-форм (я використовую FormMail.pl), а також графічний код "подання", який легко створюється в найпростіших графічних програмах. Одна така графіка включає код M19P17nH та підказку "Будь ласка, введіть код зліва".

Цей конкретний приклад використовує випадкову послідовність букв і цифр, але я схильний використовувати неанглійські версії слів, знайомих моїм відвідувачам (наприклад, "pnofrtay"). Зауважте, що підказка для форми форми вбудовується у графіку, а не відображається у формі. Таким чином, для роботи це поле форми не має поняття щодо його мети.

Єдиний справжній трюк тут - переконатися, що ваша форма html присвоює цей код змінній "отримувач". Потім у своїй поштовій програмі переконайтеся, що кожен такий код, який ви використовуєте, встановлений як псевдонім електронної пошти, який вказує на будь-які адреси електронної пошти, які ви хочете використовувати. Оскільки у формі немає жодного запиту на формі, щоб робот читав, і немає електронних адрес, він не має поняття, що потрібно поставити в порожнє поле форми. Якщо в полі форми чи нічого, крім прийнятних кодів, нічого не вводиться, подання форми не вдається з помилкою "поганий одержувач". Ви можете використовувати іншу графіку в різних формах, хоча це, на мій досвід, не дуже потрібно.

Звичайно, людина може вирішити цю проблему миттєво, без усіх проблем, пов’язаних з reCAPTCHA та подібними, більш елегантними схемами. Якщо людський спамер реагує на невдачу одержувача і запрограмує код зображення на робота, ви можете легко змінити його, як тільки зрозумієте, що робот жорстко кодований. За п’ять років використання цього підходу я ніколи не мав спаму від жодної з форм, на яких я його використовую, і ніколи у мене не було скарги від будь-якого людського користувача форм. Я впевнений, що це може бути поборонене здатністю OCR у робота, але я ніколи не бував цього на жодному з моїх сайтів, які використовують форми HTML. Я також використовував "пастки для спаму" (прихований "приходьте сюди" html-код, який вказує на мою політику проти спаму) для хорошого ефекту, але вони були ефективними лише на 90%.

Я думаю про багато речей тут:

1. за допомогою JS (хоча ви цього не хочете) для відстеження руху миші, натискання клавіші, клацання миші
2. отримання URL-адреса реферала (який у цьому випадку повинен бути одним із одного домену) ... звичайний користувач повинен перейти через веб-сайт, перш ніж отримати контактну форму: PHP: Як отримати URL-адресу реферала?
3. використовуючи змінну $ _SESSION для отримання IP-адреси та перевіряйте форму подання проти цього списку IP-адрес
4. Заповніть в одному текстовому полі деякий фіктивний текст, який ви можете перевірити на стороні сервера, чи був він перезаписаний
5. Перевірте версію браузера: http://chrisschuld.com/projects/browser-php-detecting-a-users-browser-from-php.html ... Зрозуміло, що бот не буде використовувати браузер, а лише сценарій. .
6. Використовуйте AJAX для надсилання полів по одному та перевірки різниці у часі між поданнями
7. Використовуйте підроблену сторінку до / після форми, просто щоб надіслати інший вклад

Ще один варіант замість того, щоб робити випадкові букви та цифри, як це роблять багато веб-сайтів, - це робити випадкові зображення розпізнаваних об'єктів. Потім попросіть користувача ввести або який колір щось на малюнку, або який саме об’єкт.

Загалом, кожне рішення має свої переваги та недоліки. Вам доведеться знайти щасливу серединку між занадто важким для користувачів, щоб передати антиспам механізм, і кількістю спам-ботів, які можуть пройти.

Роботи не можуть виконувати JavaScript, тому ви робите щось на зразок введення якогось прихованого елемента на сторінку за допомогою JavaScript, а потім виявляєте його присутність перед надсиланням форми, але будьте обережні, оскільки для деяких ваших користувачів також буде відключений JavaScript

В іншому випадку я думаю, що ви змушені будете використовувати форму клієнта, що підтверджує "людяність"

Найкраще рішення, яке я знайшов, щоб боти не потрапили спам, - це використовувати дуже тривіальне запитання чи поле у ​​формі.

Спробуйте додати таке поле:

• Скопіюйте "привіт" у вікно
• 1 + 1 =?
• Скопіюйте ім'я веб-сайту у поле

Ці хитрощі вимагають від користувача розуміння того, що повинно бути внесено у форму, тим самим значно важче бути ціллю масивної заповнення форми ботом.

EDIT

Зворотний бік цього методу, як ви заявили у своєму запитанні, є додатковим кроком для перевірки користувачем його форми. Але, на мою думку, це набагато простіше, ніж капча, а накладні витрати при заповненні форми не більше 5 секунд, що здається прийнятним з точки зору користувача.

Є підручник на сайті JQuery. Хоча це JQuery, ідея не залежить від рамки.

Якщо JavaScript недоступний, можливо, вам доведеться повернутися до підходу типу CAPTCHA.

найпростіший спосіб, який я знайшов для цього, - це поставити поле зі значенням і попросити користувача видалити текст у цьому полі. оскільки боти лише їх заповнюють. якщо поле не порожнє, це означає, що користувач не людина, і він не буде розміщений. це те саме призначення капчу.

Це просто ідея, я використовував це в моїй програмі і працює добре

ви можете створити файл cookie при русі миші за допомогою javascript або jquery і на стороні сервера перевірити, чи існує cookie, оскільки тільки у людини є миша, cookie може бути створено лише ними.

Використовуйте 1) форму з маркерами 2) Перевірте форму, щоб формувати затримку з IP-адресою 3) Блокувати IP (необов’язково)

На мій досвід, якщо форма є лише "контактною" формою, вам не потрібні спеціальні заходи. Спам пристойно фільтрується сервісами веб-пошти (ви можете відстежувати запити веб-форм за допомогою серверних скриптів, щоб побачити, що ефективно дістається до вашої електронної пошти, звичайно я припускаю, що у вас є хороша послуга веб-пошти: D)

До речі, я намагаюся не покладатися на сеанси для цього (наприклад, підрахунок, скільки разів натискається кнопка для запобігання перевантажень).

Я не думаю, що це добре. Дійсно, те, що я хочу досягти, - це отримання електронних листів від користувачів, які роблять певні дії, тому що це користувачі, які мене цікавлять (наприклад, користувачі, які переглядали сторінку "CV" та використовували належний контакт форма). Отже, якщо користувач робить щось, що я хочу, я починаю відстежувати його сеанс і встановлюю cookie (я завжди встановлюю cookie сеансу, але коли я не запускаю сеанс, це лише фальшивий файл cookie, який вважають, що користувач має сеанс). Якщо користувач робить щось небажане, я не заважаю вести сеанс для нього, щоб не було перевантажень тощо.

Також мені було б непогано, щоб рекламні послуги пропонували якусь програму (можливо, вона вже існує), щоб побачити, чи користувач "подивився на рекламу", ймовірно, що користувачі, які дивляться на рекламу, є реальними користувачами, але якщо вони не є реально добре принаймні ви отримуєте 1 перегляд все одно, так що нічого не втрачайте. (і повірте, контроль над оголошеннями складніший, ніж все, що ви можете зробити поодинці)

Насправді пастка з дисплеєм: жоден не працює як шарм. Це допомагає перемістити декларацію CSS у файл, що містить будь-які глобальні таблиці стилів, що також змусить спам-боти також завантажувати їх (прямий стиль = "display: none;" декларація, можливо, може бути інтерпретована спам-ботом, як це може бути декларація місцевого стилю всередині самого документа).

Це в поєднанні з іншими контрзаходами повинно змусити будь-яких ботів спаму вивантажувати свої сміття (у мене є гостьова книга, захищена різними заходами, і поки що вони потрапили до моїх первинних пасток - однак, чи повинен будь-який бот обійти їх, там інші готові спрацювати).

Я використовую комбінацію підроблених полів форми (також описується як недійсні поля, якщо використовується браузер, який не обробляє CSS взагалі або відображає: жодне зокрема), перевірки правильності (тобто формат вводу дійсне?), маркування часу (як надто швидкі, так і занадто повільні подання), MySQL (для впровадження чорних списків на основі електронної пошти та IP-адрес, а також фільтрів затоплення), DNSBL (наприклад, SBL + XBL від Spamhaus), аналіз тексту ( наприклад, слова, які є сильною ознакою для спаму) та підтвердження електронної пошти (щоб визначити, чи вказана адреса електронної пошти дійсна чи ні).

Одне зауваження щодо листів підтвердження: Цей крок абсолютно необов’язковий, але коли хтось вирішить його реалізувати, цей процес повинен бути максимально простим у використанні (тобто він повинен зводитися до натискання посилання, що міститься в електронній пошті ) і спричинити, щоб вказана електронна адреса була дозволена в певний проміжок часу, щоб уникнути наступних перевірок у випадку, якщо користувач захоче робити додаткові повідомлення.

1. Я використовую метод, де є приховане текстове поле. Оскільки боти розбирають веб-сайт, вони, ймовірно, заповнюють його. Потім я перевіряю, чи він порожній, якщо це не веб-сайт, повертається назад.

2. Додати підтвердження електронною поштою. Користувач отримує електронний лист і йому потрібно натиснути на посилання. В іншому випадку відкиньте публікацію через якийсь час.

Я додав перевірку часу до моїх форм. Форми не надсилатимуться, якщо їх заповнити менше ніж за 3 секунди, і для мене це було чудово, особливо для довгих форм. Ось функція перевірки форми, яку я закликаю натиснути кнопку подання

function formCheck(){
var timeStart; 
var timediff;

$("input").bind('click keyup', function () {
    timeStart = new Date().getTime();          
}); 
 timediff= Math.round((new Date().getTime() - timeStart)/1000);

  if(timediff < 3) { 
    //throw a warning or don't submit the form 
  } 
  else submit(); // some submit function

}

Із все більш досконалими спам-ботами та методами, такими як автоматизовані браузери, визначити джерело спаму стає складніше. Але опубліковані програмним забезпеченням, людиною або обома, спам є спамом через його вміст. Я думаю, що найкращим рішенням є запуск розміщеного вмісту через антиспам API, наприклад Cleantalk або Akismet. Це порівняно дешево і ефективно і не турбує користувачів. Ви можете перевірити терміни подання форми та інші традиційні перевірки на менш складні боти, перш ніж натискати API.

Ви можете спробувати обдурити спам-роботів, додавши правильну дію, яка розподіляється після перевірки Javascript. Якщо робот блокує Javascript, вони ніколи не можуть правильно подати форму.

HTML

<form id="form01" action="false-action.php">
    //your inputs
    <button>SUBMIT</button>
</form>

JAVASCRIPT

$('#form01 button').click(function(){

   //your Validations and if everything is ok: 

    $('#form01').attr('action', 'correct-action.php').on("load",function(){
        document.getElementById('form01').submit()
    });
})

Потім я додаю "зворотний дзвінок" після .attr (), щоб запобігти помилкам.

Тільки мої п’ять копійок коштують. Якщо метою цього є зупинка 99% роботів, що звучить досить непогано, і якщо 99% роботів не можуть запустити Java-скрипт, найкращим рішенням, яке перемагає все, є просто не використовувати форму, яка має дію надіслати з URL-адреса публікації.

Якщо формою керується через java-скрипт, а java-скрипт збирає дані форми і потім надсилає їх через HTTP-запит, жоден робот не може надіслати форму. Оскільки кнопка представлення використовує Java-скрипт для запуску коду, який надсилає форму.