Здравствуйте, давно интересовал такой вопрос: как сайты защищаются от "мусорной регистрации"? То есть условно говоря кто-нибудь написал программу, которая бесконечно регистрирует нового пользователя. Вы скажите капча, но ведь если программа сможет взломать хотя бы 1 из 4 капч(не знаю можно ли так выразиться), то фактически защиту капчой опускаем. Установить ограничение на создание нового пользователя, скажем, на какое-то время после регистрации? Но ведь никто скажем не мешает разместить скрипт регистрации на каком-нибудь сайте, чтобы входящие пользователи ничего не зная, запускали его(и считай каждый раз получаем нового юзера с новым ip, куки и тд) или ботнет сеть. На крайняк просто сделать выборку из скажем n прокси и делать через них. Подождать какое-то время и снова начать регистрировать. Ведь, в отличие от ddos, здесь не нужно "наваливаться всей силой" можно просто постепенно добавлять новых пользователей и засорять бд, увеличивая нагрузку на сайт и ведь, по сути, очень сложно отличить мусорного пользователя от обычного.
Возможно, проблема высосана из пальца, так что интересно услышать ваше мнение.
Здравствуйте, 80LevelElf, Вы писали:
LE>Здравствуйте, давно интересовал такой вопрос: как сайты защищаются от "мусорной регистрации"? То есть условно говоря кто-нибудь написал программу, которая бесконечно регистрирует нового пользователя. Вы скажите капча, но ведь если программа сможет взломать хотя бы 1 из 4 капч(не знаю можно ли так выразиться), то фактически защиту капчой опускаем. Установить ограничение на создание нового пользователя, скажем, на какое-то время после регистрации? Но ведь никто скажем не мешает разместить скрипт регистрации на каком-нибудь сайте, чтобы входящие пользователи ничего не зная, запускали его(и считай каждый раз получаем нового юзера с новым ip, куки и тд) или ботнет сеть. На крайняк просто сделать выборку из скажем n прокси и делать через них. Подождать какое-то время и снова начать регистрировать. Ведь, в отличие от ddos, здесь не нужно "наваливаться всей силой" можно просто постепенно добавлять новых пользователей и засорять бд, увеличивая нагрузку на сайт и ведь, по сути, очень сложно отличить мусорного пользователя от обычного. LE>Возможно, проблема высосана из пальца, так что интересно услышать ваше мнение.
Процедуру регистрации сделать так, чтоб нервов хватило только на один раз)
Здравствуйте, InfoPilot, Вы писали:
IP>Процедуру регистрации сделать так, чтоб нервов хватило только на один раз)
Ага, требовать скан паспорта, документов на жилье и анализа крови
А по теме — можно например сделать валидацию email. Если юзер не кликнул по ссылке в письме для подтверждения, то акк удаляется через N дней. Все это время или не пускаем юзера на сайт или пишем ему Warning + но в любом случае должна быть возможность выслать ссылку повторно.
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, InfoPilot, Вы писали:
IP>>Процедуру регистрации сделать так, чтоб нервов хватило только на один раз)
Doc>Ага, требовать скан паспорта, документов на жилье и анализа крови
Doc>А по теме — можно например сделать валидацию email. Если юзер не кликнул по ссылке в письме для подтверждения, то акк удаляется через N дней. Все это время или не пускаем юзера на сайт или пишем ему Warning + но в любом случае должна быть возможность выслать ссылку повторно.
Ну если у человека есть условно скажем свой сайт(доменное имя и сервер), то вроде бы ничего не мешает ему регистрировать самому email'ы, автоматически. И так же автоматически читать их и заходить на наш сайт. Или например(напомню, что мы таки более менее умеем ломать капчу) регистрировать на гугле/mail.ru и тд.
Здравствуйте, 80LevelElf, Вы писали:
LE>Ну если у человека есть условно скажем свой сайт(доменное имя и сервер), то вроде бы ничего не мешает ему регистрировать самому email'ы, автоматически. И так же автоматически читать их и заходить на наш сайт. Или например(напомню, что мы таки более менее умеем ломать капчу) регистрировать на гугле/mail.ru и тд.
Вопрос — что такого у вас есть, чтобы он так заморочился (взять сервер за $, пачку доменов (ведь по домену залочить регистрацию — строка в коде), настроить автогенерацию почты скриптом, ботов чтобы регались и по ссылке ходили, потом еще логинились)? Мне отвечать не надо, для себя решите.
Тут главное понять, что любая защита рано или поздно ломается. Вопрос только стоит ли затраченное время и деньги того, что будет получено в результате взлома. А то так можно дойти до того, что могут просто приехать к админу и заставить нагенерить юзеров.
Здравствуйте, 80LevelElf, Вы писали:
LE>Здравствуйте, давно интересовал такой вопрос: как сайты защищаются от "мусорной регистрации"? То есть условно говоря кто-нибудь написал программу, которая бесконечно регистрирует нового пользователя. Вы скажите капча, но ведь если программа сможет взломать хотя бы 1 из 4 капч(не знаю можно ли так выразиться), то фактически защиту капчой опускаем. Установить ограничение на создание нового пользователя, скажем, на какое-то время после регистрации? Но ведь никто скажем не мешает разместить скрипт регистрации на каком-нибудь сайте, чтобы входящие пользователи ничего не зная, запускали его(и считай каждый раз получаем нового юзера с новым ip, куки и тд) или ботнет сеть. На крайняк просто сделать выборку из скажем n прокси и делать через них. Подождать какое-то время и снова начать регистрировать. Ведь, в отличие от ddos, здесь не нужно "наваливаться всей силой" можно просто постепенно добавлять новых пользователей и засорять бд, увеличивая нагрузку на сайт и ведь, по сути, очень сложно отличить мусорного пользователя от обычного. LE>Возможно, проблема высосана из пальца, так что интересно услышать ваше мнение.
Для начала надо понять нужна ли вообще регистрация на сайте. Вместо того, чтобы заставлять человека вбивать логины\пароли можно предоставить возможность аутентифицироваться с помощью аккаунта в соцсети. Тогда проблема множества регистраций отпадает сама собой.
Здравствуйте, gandjustas, Вы писали:
G>Для начала надо понять нужна ли вообще регистрация на сайте. Вместо того, чтобы заставлять человека вбивать логины\пароли можно предоставить возможность аутентифицироваться с помощью аккаунта в соцсети. Тогда проблема множества регистраций отпадает сама собой.
Это конечно так, но паранойю еще никто не отменял.
Бог знает что он там свяжет с моим реальным аккаунтом.
Я например обычно предпочитаю все же вбить специальное "мусорное мыло для регистраций на левых сайтах".
А проблема которую назвал ТС актуальная.
У меня боты регистрируются со "своих доменов" по нескольку в неделю..
Если удастся зарегаться — в профиль или подпись пишется рекламная (или CEO) ссылка на что-нибудь хорошее в этой жизни.
Методы борьбы — капча конечно и онлайн базы известных email-ов и ip спамеров. К тому же автогенеренные емайлы все же пока довольно легко отличить.
Для CMS типа wordpress есть куча плагинов типа "stop spam registration".
