Слабая капча или что это? Честные левые регистрации или дырка? Есть решение
Уважаемые разработчики проясните ситуацию.
Ситуация следующая. Ежедневно, каждые 8-12 часов происходит регистрация с разных IP, но одинаковых по сути. ФИО и все прочие данные выдуманные.
Данные этих пользователей выглядят следующим образом.
Повторяющееся имя и фамилия остальное также пустая выдуманная информация.
Сейчас используется капча Webasyst, замена на Gogle reCAPTCHA ситуацию не изменила.
Данная ситуация наблюдается уже несколько недель. На сегодня угрозы она не представляет, но базу загаживает. Увеличения таких регистраций не хочется.
36 ответов
Я пока экспериментирую, но вроде работает.
https://github.com/webasyst/webasyst-framework/compare/dev...ZloyTip:patch-4?expand=1
С субботы пробилась всего пара регистраций, но они более человекоподобны, поэтому пока не понятно, человек ли это или бот.
Есть идеи по улучшению, но пока только проверка гипотезы.
Если решите тоже проверять, будет интересно узнать о результатах.
Я правильно понял что вы просто сравниваете поля имя и фамилию? И этим отсеиваете левые регистрации.
Нет. Я прячу name у полей ввода и восстанавливаю их jQuery (потом, конечно, стоит переписать на чистый JS).
Таким образом отсеивается большинство ботов-парсеров, которые в режиме реального проверяют сайт.
Если бы какие-то спамеры заранее внесли форму регистрации в свой "чёрный список", то доработка не помогла бы.
Но по факту за эти пару дней таких регистраций нет.
Хороший метод проверки видел когда-то, через проверку фокуса элементов на странице.
(т.е. выбирались ли данные элементы или нет).
Хотя, идея не нова, так что, наверняка, часть ботов это тоже уже давно обходит успешно.
Пофиг. Какой процент ботоделов заморочится с парсером, который будет выполнять JS, но не сделает фокус на поля?
Вам виднее.
Когда-то работало.
Я к тому, что почти нет разницы между моим подходом и вашим.
Простые боты не выполняют JS, а поэтому не пройдут.
Если целенаправленно кто-то будет ломать Webasyst, боюсь, и так сломает :) а уж тем более конкретный сайт.
Думаю, раз Вебасист не решает этот вопрос - Вам есть смысл пытаться выпустить решение плагином.
Дырка, в общем-то. Боты регистрируются. Люди так тупо писать не будут.
Угрозу представляет. Потом, при рассылке, все эти по всем этим адресам будут отправлены письма на несуществующие ящики. Если это будет большое кол-во ящиков на yandex и gmail, то вашу рассылку признают спамом, а может и IP, в перспективе, в блэклисты попасть.
Плюс, со временем, будет забивать базу данных.
Я видел сайты где так отзывами о товарах забивалась база и переставала работать.
Таблица отзывов 1.5 Гб была, вся остальная база 3 Мб. БД превышала лимит, сайт падал.
Собственно и опасаюсь лавинообразного увеличение числа пользователей. И как следствия роста БД. А она у нас и так пухлая ))) к 10Гб подбирается )))
И получается что надо вводить непопулярную меру завершение-регистрации через почту. Если выше указанные решения не позволят отсечь левые учетки.
Так попробуйте.
6 строчек же скопировать
Евгений, воткнул кусок вашего кода (13:40 Москва). Будем посмотреть! )))
На сегодня ситуация в логе. Последняя регистрация в 00:40
У меня ситуация при поиске по странице слова "зарегистрировался" с 20-го числа (доработка была 21-го в 15:00) выглядит так:
Последние одиночные регистрации человекоподобны.
20 часов. Полет нормальный! Левых регистраций "НОЛЬ".
Последний пассажир так и остался 26.01.17 00:40
Костыль - рабочий!
Евгений, нужно решение на постоянной основе.
После обновлений править каждый раз, всетаки не правильно.
Алексей на 100% прав.
Именно это и произошло у нас — каким-то образом на несуществующие адреса были отправлены письма (рассылки нет). Почтовые сервера пожаловались хостингу, и вот мы с выключенными почтами.
Сейчас с гостиного договорились, но что дальше?
Вебасист в топку. Больше на нем не буду делать проекты.
Дело в том что у меня похожая ситуация но с увеличенной частотой, видимо вебассист спамят или атакуют не знаю, а они за двое суток мою проблемму даже не расмотрели
Вы на облаке WA, хостинг, свой сервер?
Думается мне что капчу они не скоро изменят.
А у меня реги идут не через сайт, а через Shop (магазин).
Тоже непонятно зачем и почему.
Это зависит от того, какое приожение назначено ответственным за регистрацию и авторизацию в настройках.
Та же была х...ня. Как временное решение помогло форму подписки перенести на отдельную страницу. Кнопка из меню "Подписаться" перекидывает на эту страницу и там заполняются все поля. Пока работает, до этого был просто тихий ужас. Перед каждой рассылкой вычищать левых подписчиков.
Было такое, пока вроде не повторяется, но однажды поддостало.
Это все удаленные такие ботные регистрации, и ещё не весь список влез.
Товарищи! Плюсуем Eugen Nichikov и говорим спасибо! За работающий костыль!
Евгений, СПАСИБО!
P.S.: еще бы переписать на чистовую ))) код, у вас вроде как была такая мысль ;)
Новая серия регистраций! Я так понимаю, это после обновления.
В итоге есть готовое решение как с этим бороться, или только кусками кода?
Только куском кода! Который естественно слетает при обновлении WA.
Господа программеры что-то пока ничего готового не предлагают (((
У меня стоит shop для регистрации, регулярно появляются новые левые подписчики метод стоит
но в логе действий я не вижу никаких записей, просто тупо появляются левые и все, на 90% адреса с mail.ru и gmail.comкто пробовал эти 6 строчек решают или нет?
Решают. Поскольку комментариев от Вебасист не было, а каждый раз мне было влом добавлять эти строчки на всех сайтах клиентов, я сделал ещё один вариант того же кода
Но уже в шаблоне.
Вот сам код https://pastebin.com/2bFeTEFL
Мне не помогает.
Каждый день приходится удалять по 50 регистраций. Подзадолбало. Хочу сделать доп вопрос при реге - но все руки не дойдут.
Ну тут либо регистрации не через эту форму, либо вы что-то не так сделали.
У меня после добаления этого кода регистрация не проходит. Заполняю все поля а форма их не видит
В один прекрасный период года психанул и забил на ручное удаление этих ботов. Потом забыл вообще про них ну и теперь вручную их почистить будет оооочень долго (а может и нереально).
Массово их найти и удалить в приложении контакты нет инструментов. Есть ли способ в PHPMyadmin найти их все. По критериям: совпадение имени и фамилии + отсутствие телефона, адреса. А потом массово удалить?
Будьте добры, кто владеет такими знаниями...
Прошло 2,5 года с момента последней записи в этой ветке. А воз и ныне там....
У меня на одном из сайтов та-же хрень с массовой регистрацией уже второй год. До этого момента тот магаз был практически дохлый и это не парило особо. Но теперь надо его срочно запустить под новый проект. И не решенная проблема с массовой регистрацией обещает стать адским гемором. Ибо руками чистить по 600 бот регистраций еженедельно - то еще удовольствие.
Насколько я понял разработчики WA, как часто бывает, так и не удосужились исправить эту проблему. Сделали вид, что само рассосется. Или ждали, кто из партнерских разработчиков запилит плагин. Но видимо и этого не произошло. Так что делать то с проблемой???
Решение в этой теме от 5 мая 2017 года выложено. С тех пор оно не изменилось. Этот код работает от подобных ботов нормально и сегодня. Ну или Гуглокапчу или иную нетривиальную капчу ставить.
Почему "и ныне там"? Капчу везде добавили. Можно вебасистовскую, можно гугловскую использовать.
Google reCAPTCHA v3 https://www.google.com/recaptcha/intro/v3.html
И, вроде, особых проблем не наблюдалось.
https://support.webasyst.ru/shop-script/18935/recaptcha/
Решением проблемы с регистрацией ботов может послужить использование плагина Отложенная загрузка контента. При использовании данного плагина форма регистрации грузится на JS, отсутствует в исходном коде страницы и пока что ни один бот не смог зарегистрироваться ни на одном из тестируемых проектах. Пробовал даже отключить капчу - левых регистраций все равно ноль. До внедрения плагина порядка 10-15 ботов в день стабильно регистрировались, все виды капч перепробовал, ни одна не защищала на 100% (зато реальным пользователям мешалась).
В документации к плагину приложена подробная инструкция как внедрить плагин на форму регистрации (и не только туда).