Le chiavi di forma potrebbero ridurre la quantità di spam che riceviamo?

3

Lavoro per un'azienda che ha un negozio online e dobbiamo costantemente confrontarci con molte recensioni di prodotti spam e account cliente fasulli. Questi sono tutti creati da sistemi automatici e sono più di una seccatura che altro.

Quello che sto pensando (al posto di captcha, che può essere rotto) sta aggiungendo una sorta di soluzione chiave per moduli a tutte le forme pertinenti. So per certo che alcuni spammer usano XRumer e so che raramente richiedono una pagina prima di inviarci i dati del modulo (è questa la definizione di CSRF?), Quindi penserei che legare una chiave a ogni modulo richiesto sia almeno arginare la marea. So anche che gli spammer sono pigri e non controllano il loro lavoro, altrimenti vedrebbero che non abbiamo mai pubblicato una recensione di spam e non hanno mai ottenuto entrate dal nostro sito.

Riuscirebbe a ridurre significativamente il volume delle recensioni dei prodotti di spam e delle creazioni degli account dei clienti che stiamo vedendo?

EDIT: per chiarire cosa intendo per "Form Keys": Mi riferisco alla creazione di un identificatore univoco (o "chiave") che verrà utilizzato come un campo di forma statica invisibile. Questa chiave verrà inoltre memorizzata nel database (relativamente alla sessione utente) o in una variabile cookie. Quando il target del modulo riceve una richiesta, la chiave deve essere convalidata affinché i dati del modulo vengano elaborati. Quei robot fastidiosi non avranno la chiave perché non caricano il javascript che genera il modulo (inviano solo una richiesta cieca al target) e anche se hanno caricato il javascript una volta, avranno solo una chiave valida e non sono sicuro che utilizzino anche i cookie.

    
posta David Wilkins 28.04.2014 - 19:04
fonte

1 risposta

5

Ciò che stai suggerendo è simile al metodo honeypot . Ho usato questo sui moduli che stavano ricevendo un sacco di spam e ho trovato che funziona abbastanza bene. Non è stato perfetto, ma ha ridotto il nostro spam un po 'senza alcun impatto sugli utenti legittimi: non hanno dovuto decodificare un CAPTCHA ingombrante o smettere di pensare a cosa sia 2 + 1.

Ora, quando abbiamo confrontato l'honeypot con i moduli con reCAPTCHA , reCAPTCHA era waaaaay più efficace, praticamente bloccando tutto.

Non è chiaro dalla tua domanda ma richiede un account per pubblicare una recensione e richiede la verifica via email di detto account (ad esempio, la persona si iscrive, si invia un'email con il link di attivazione, si fa clic sul link di attivazione prima di poter fare qualsiasi cosa sul sito) può anche fare molto per ridurre lo spam.

Affrontare specificamente la tua domanda: sì, questa tattica ridurrà lo spam, ma è probabile che tu abbia ancora un volume decente di spam se ti affidi da solo.

Vorrei iniziare con un honeypot sui tuoi moduli e vedere come va. È facile da implementare e ha un basso impatto sugli utenti. Se i risultati sono accettabili, sii felice e passa a qualcos'altro. In caso contrario, esamina qualcosa come reCAPTCHA. Hai accennato al fatto che la direzione non è troppo sensata all'idea di un CAPTCHA, probabilmente perché temono un numero ridotto di revisioni legali. In questo caso fare un test A / B di invii di moduli non CAPTCHA rispetto a CAPTCHA ti darà un'idea di se questo è effettivamente un problema.

    
risposta data 28.04.2014 - 21:20
fonte

Leggi altre domande sui tag