מתקפת זבל בוויקי

שניים מהוויקים של לינגנו, זה של rsyncrypto וזה של bidiedit חווים בימים האחרונים עליה מדאיגה בכמות הספאם שנוצרת בהם. כבר לפני כמה שנים נאלצתי לאפשר רק למשתמשים רשומים לערוך דפים, אבל עכשיו הבוטים התחילו, בבת אחת, לרשום משתמשים חדשים ומייד להעלות ספאם. בשלב זה הוספתי דרישה למשתמשים רשומים להיות בעלי כתובת אימייל תקינה ומאושרת לפני שהם יכולים לערוך, אבל אני חושש שזו רק שאלה של זמן עד שגם זה יפסיק לעבוד כנגד החולירות.

אם למישהו יש רעיון איך להציל את התוכן המשותף, הוא יתקבל בברכה.

שחר

מאת

שחר שמש

מייסד–שותף וחבר ועד בתנועה לזכויות דיגיטליות מייסד שותף בעמותת „המקור”. פעיל קוד פתוח. מפתח שפת התכנות Practical

16 תגובות בנושא “מתקפת זבל בוויקי”

  1. זו שאלת דיזיין גלובאלית בעולם הווב – איך בונים ממשק שיהיה נגיש לבני אדם אבל לא לבוט.
    בגדול יש שני כיוונים שכולם מכירים (ובטוח שאתה מכיר), האחד הוא אישור על-ידי אדם (מאיט, דורש עבודת אדם, אבל יעיל) והשני הוא ניצול העובדה שמערכות רובוטיות (אפילו מתקדמות) לא מתחרות ביכולת של אדם לניתוח ויזואלי, הפתרון המוכר בכיוון הזה הוא כמובן קאפצ’ה.
    אני תוהה לגבי האפשרות של ממשק רישום המתבסס על טכנולוגיית צד-לקוח מתקדמות (אג’קסים, ווב-סוקטס) שיש סיכוי סביר שבוטים של היום לא יצליחו לרנדר, לפחות לא בוטים שמתבייתים על וויקי….

  2. וכמובן, אם מדובר בבוט אחד (סביר), להכות בו בחזרה, אתה בכל זאת בעל יידע מוערך באבטחת מידע…

  3. אין לי נסיון בזה אישית, אבל שמעתי שדברים פשוטים כמו תיבת טקסט שכתוב לידה “נא לכתוב כאן 9”, או ג’אווהסקריפט שכותב כמה זמן עבר מאז שהעמוד עלה עד שהתגובה נשלחה, עובדים נגד תוכנות כאלו.

    הרעיון הוא שהתוכנות האלו עובדות על כמות, ומעוניינות להפיץ את מרכולתם בכמה שיותר מקומות. ההפסד שלהם אם הם לא יגיעו לאתר שלך הוא קטן. לכן אם תבדל את עצמך מספיק משאר האתרים, אפילו אם קל לעקוף את החסימה שהפעלת הם לא יטרחו להגיע לאתר שלך. הבלוג bit-player משתמש במשהו דומה.

  4. יש גל של ספאם לאחרונה.
    יש לי ספמרים שרושמים חשבונות בפורום של מועדון לינוקס הירושלמי.
    מה שמפתיע אותי הוא שהם הצליחו לפצח את האימות של reCAPTCHA (שאמור לאפשר סריקה של עיתונים ישנים).

  5. לפעמים ההגנות מתוחכמות מידיי כאשר אפשר בהגנה פשוטה מאוד לסדר את הבוטים.
    בוטים בדרך כלל לא קוראים javascript ולכ מספיק לבצע 3 פעולות פשוטות:
    1. להוסיף עוד שדה לform של ההוספה

    2. בתג להוסיף

    onsubmit=”document.getElementById(‘cont’).value=’approve”
    3. בדף שנשלח אליו הform, להוסיף
    <?php
    if( $_REQUEST[ 'cont' ] != 'approve' ) die();

    בהצלחה 🙂

  6. שחר,
    האם מתקפת הספאם הגיע מאחת או משתי כתובות ה IP האלה:
    79.142.67.147
    79.142.67.147
    אם כן תחזור אלי לדוא”ל שהשארתי בפרטי התגובה.
    להשתמע,
    מנחם

  7. השיטה של ווטספ היא שימוש של JS או CSS מתקדם כדי לעשות ערך בנאלי כמו למשל “Repeat password” בטופס ולהסתיר אותו בפני המשתמשים. אם יש בוא תוכן, הטופס לא נשלח, פשוט מאוד 🙂

    דור.

  8. תעלה את המחיר של יצירת משתמש חדש – המתנה של רבע שעה לדוא”ל האימות. בתנאים כאלה קל לגלות משתמשים חדשים שלא אומתו עדיין ולהרוג אותם בעודם באיבם.

    בנוסף, אני לא יודע לגבי Mediawiki – אבל האם אפשר למחוק משתמשים בצורה שמבטלת את כל העידכונים שהם עשו במידת האפשר?

    — אריק

סגור לתגובות.