Forum webmasterów

Witam

Mam nadzieję, że piszę na dobrym forum. Zarządzam kilkoma serwisami posiadającymi kilka funkcji społecznych (forum, komentarze, itp). Ostatnio zauważyłem spory wzrost użytkowników, którzy rejestrują się z wykorzystaniem temporary e-mails. Jeśli ktoś nie wie o co chodzi, już tłumaczę. Temporary e-mails to tymczasowe (kilkunasto-kilkudziesięcio minutowe) adresy e-mail tworzone w bardzo prosty sposób na stronach internetowych (często wystarczy jedno kliknięcie) i pozwalające na odbiór wiadomości przychodzących na to konto.
Cel tego jest szczytny - podanie e-maila tam, gdzie tego potrzebują i uniknięcie spamu w wiadomościach wysyłanych na maila. Jest jednak druga strona medalu - konta te jest tak łatwo stworzyć, że mogą to zrobić najprostsze boty, co za tym idzie administratorzy for i podobnych rzeczy narażeni są na masową rejestrację botów z nieistniejącymi, a jednocześnie prawdziwymi adresami e-mail.

Narobiło się tego typu serwisów od diabła, postanowiłem więc zrobić mechanizm działający na zasadzie black listy, który po podaniu wybranego adresu e-mail lub wybranej domeny wyświetla informację o tym, czy dany e-mail/domena należy do mechanizmów temporary e-mail

Mechanizm już działa w najprostszy możliwy sposób - wysłanie żądania http pod dany adres wraz z domeną lub adresem e-mail, skrypt przeszukuje bazę i zwraca 1 jeśli domena jest wpisana w blacklistę lub 0 jeśli nie. Czy myślicie, że taka rzecz byłaby przydatna? Czy rozwijać ją w kierunku otwartego mechanizmu, gdzie można by dodawać nowe domeny, weryfikować stare, może jakieś inne formy żądania- odpowiedzi (np. webservices).

Na razie baza wszystkich domen, które udało mi się pozyskać dostępna jest pod adresem: http://codeprj.pl/tmpemails/?domains

Można też przetestować skrypt podając po znaku zapytania adres e-mail lub domenę, np http://codeprj.pl/tmpemails/?wp.pl (odpowiedź: 0), http://codeprj.pl/tmpemails/[email protected] (odpowiedź: 1)

Co sądzicie o takim projekcie? Rozwijać go dalej?

[edit]

PS. W przypadku braku argumentu po znaku zapytania lub błędnie wpisanej domeny wyświetlane jest 0

Witaj, ja na boty znalazłem niezawodny sposób i jak na razie żaden się nie prześlizgnął. Po pierwsze bot durne stworzenie, wszystkie pola jak leci wypełnia. Więc czemu to nie może zostać wykorzystane ? Dodałem pole formularza z atrybutem display: none; i w następnej stronie przy sprawdzaniu formularza sprawdzam czy to pole jest puste.
A dla botów ambitnych mam ten skrypt (fragment klasy) którym się chętnie podziele:
Zakładając że metoda będzie w klasie "Zabezpieczenia" tworzę prosty kod: Zobacz sobie co będziesz dostawał przy kolejnych odświeżeniach strony. Zabezpieczenie ma tą przewagę nad tokenem obrazkowym że jest odpowiednie dla osób niewidomych i eliminuje kompletnych idiotów.

Niech mnie diabli jeżeli jakiś bot Ci to przejdzie. Chyba że ktoś napisze bota specjalnie pod to zabezpieczenie ale wtedy wystarczy użyć bibliotekę GD i wsadzić to pytanie na tło obrazkowe.

również korzystam z podobnych sposobów, choć bez tokenów (z racji tego, ze nie sa to moje prywatne serwisy nie moge oczekiwac od użytkownika szybkiego liczenia w pamieci, czy mozliwosci przepisania obrazka). Wiekszość nawet ambitnych robotów wysypuje się na trzymaniu numeru sesji. Te które potrafią, wysypują się na innych zabezpieczeniach (oprocz ukrytego pola jeszcze sprawdzanie ilosci linkow w tresci i wywalanie na podstawie pewnych slow)

Problemem dla mnie były same rejestracje, falszowaly ilosc aktywnych userow, byly wykorzystywane do falszowania glosowania itp. Przez pewien czas mialem spory problem z temp. emails, dlatego zrobilem taki systemik. Pomyslalem, ze moze to byc dla kogos przydatne, ze mozna by z tego zrobic jakis ciekawszy mechanizm z szerszymi możliwościami... nie wiem po prostu czy warto inwestowac czas w rozbudowe czegos takiego, stad moje pytanie.

pzdr.

ja bym po prostu w formularzu dałbym parę pól typu "jestem oszustem";"usuń mnie" itp.
niejako spambot może mieć bazę z odpowiedziami których ma nie zaznaczać pisał bym to kożrystając z notacji XML

Pomysł dość ciekawy, aczkolwiek mało praktyczny, przynajmniej z dwóch powodów:
1. wiązałoby się to z usuwaniem danych z pola formularza, co nie sprawi większego problemu np. na forum webinside, ale może sprawić kłopot osobom słabo znającym obsługę komputera (można to, owszem, załatwić JS, ale czy warto?)
2. Hasła w stylu "jestem oszustem" w polu do wypełnienia może budzić niejednoznaczne skojarzenia dla wysyłającego tekst, nieprawdaż?

W takich zabezpieczeniach istotne jest to, żeby były jak najmniej odczuwalne i jak najmniej odstraszające zwykłych użytkowników.

Natomiast tracę powoli przekonanie, że proponowany przeze mnie mechanizm mógłby uzyskać jakieś szersze zainteresowanie, z drugiej strony może służyć jako dowolna black/white lista przy odpowiednich założeniach i odpowiednio rozbudowanej bazie

pzdr.

Ale w swoim serwisie nie chciałbyś mieć ani SPAMbootów ani podejrzewam oszustów, ale można spróbować z np.: przepisywaniem kodu z obrazka albo umieszczać pary pól wyboru typu "lubię jeździć autem" i "mam chorobę lokomocyjną" (w tym przypadku musiałoby być jeszcze "jestem masochistą", bo kto cierpiący na chorobę lokomocyjną lubi jeździć samochodem)
a co do praktyczności to sprawdzamy najpierw czy pola które mają być niezaznaczone są puste Jeżeli tak jest to idzie dalej a jak delikwent twierdzi że jest oszustem czy coś w tym rodzaju to rejestracja się nie powodzi.