А я и не предлагаю их отличать.

Вот что я предлагаю:

1. Использовать некоторую схему регистрации авторов, препятствующую их автосозданию с помощью роботов.

2. Разрешать постинг только зарегистрированным авторам.

3. Ограничить на нескольких уровнях темп постинга отдельно для каждого автора.

Обрати внимание: я нигде кроме первого пункта не ввожу понятие "робот". [img]images/smiles/icon_smile.gif[/img]

С куками можно вот что сделать:

1. после захода пользователя ему выдается кука с уникальным ID, этот ID заносится в базу данных в которой и регистрируются время последнего обращения (оставления поста).

2. при входе пользователя кука пересылается серверу, тут уж ее не подделать - смысла нет время на сервере хранится, соответственно можно спокойно вычислить частоту постинга.

Куки конечно нужно применять не сами по себе, но во взаимодействии с какими-либо другими методами.

<BLOCKQUOTE><font size="1" face="Verdana, Tahoma, sans-serif">quote:</font><HR>Автор Сообщения Dimaman:
<STRONG>С куками можно вот что сделать:

1. после захода пользователя ему выдается кука с уникальным ID, этот ID заносится в базу данных в которой и регистрируются время последнего обращения (оставления поста).

2. при входе пользователя кука пересылается серверу, тут уж ее не подделать - смысла нет время на сервере хранится, соответственно можно спокойно вычислить частоту постинга.

Куки конечно нужно применять не сами по себе, но во взаимодействии с какими-либо другими методами.</STRONG><HR></BLOCKQUOTE>

Внимание, вопрос: каким образом это препятствует работе флуд-роботов?

и если куки нету , то она выдаётся , а пост таки входит в базу, прально ?
так что же мешает роботу не давать никакой куки ? ….
не выход ….

да и у клиента не обязанны быть включёнными куки …

<BLOCKQUOTE><font size="1" face="Verdana, Tahoma, sans-serif">quote:</font><HR>Автор Сообщения Crazy:
<STRONG>А вот это -- типичная ошибка. Для N кнопок вероятность угадывания есть 1/N. Будешь ты получать регистрацию роботов в N раз реже максимальной. К примеру, 10 в секунду вместо 50. Сильно легче? [img]images/smiles/icon_smile.gif[/img]</STRONG><HR></BLOCKQUOTE>

Понимаешь в чем дело, вероятность 1 на N это если робот будет на одной странице угадывать. А страницы каждый раз разные и картинки тоже. Поэтому вероятность = Xtotal(Картинок)*Ytotal(Ответов) / Nvariant страниц. Так как стриниц может быть бесконечно много, то робот проведет вечность в поиске ответа. А если и запостит, то 1 мессаг в год. Учи математику, дорогой.

Гы-ы... ЗАВХОЗ правильно сказал... С куками всё можно сделать... Как в Perl'е - не знаю, а в PHP можно защититься от подделывания кук (типа название и значение переменной из кук в урле), в PHP есть такая фича $HTTP_COOKIE_VARS, это массив кук и еси ты будешь брать всё от туда - get и post бессильны =) А в остальном всё обычно... Я щас у себя етот вариант делаю...

<BLOCKQUOTE><font size="1" face="Verdana, Tahoma, sans-serif">quote:</font><HR>Автор Сообщения <Wartex>:
<STRONG>Понимаешь в чем дело, вероятность 1 на N это если робот будет на одной странице угадывать. А страницы каждый раз разные и картинки тоже. Поэтому вероятность = Xtotal(Картинок)*Ytotal(Ответов) / Nvariant страниц. Так как стриниц может быть бесконечно много, то робот проведет вечность в поиске ответа. А если и запостит, то 1 мессаг в год. Учи математику, дорогой.</STRONG><HR></BLOCKQUOTE>

Свой последний экзамен по терверу я благополучно сдал... где-то лет 15-16 назад, а посему доказывать тебе, что вероятность независимого выбора из N вариантов равна 1/N я потребности не испытываю.

Ты имеешь полное право иметь собственное, [img]genius.gif[/img] оригинальное мнение по данному вопросу.

<BLOCKQUOTE><font size="1" face="Verdana, Tahoma, sans-serif">quote:</font><HR>Автор Сообщения SINbiozz:
<STRONG>Гы-ы... ЗАВХОЗ правильно сказал... С куками всё можно сделать... Как в Perl'е - не знаю, а в PHP можно защититься от подделывания кук (типа название и значение переменной из кук в урле), в PHP есть такая фича $HTTP_COOKIE_VARS, это массив кук и еси ты будешь брать всё от туда - get и post бессильны =) А в остальном всё обычно... Я щас у себя етот вариант делаю...</STRONG><HR></BLOCKQUOTE>

Боюсь, что когда ты найдешь время прочитать документацию на механизм, которым передаются куки, то тебя ждем небольшое потрясение. [img]images/smiles/icon_smile.gif[/img]

А ты эту документацию здесь вставь...

Сходи на developer.netscape.com и в поиске закажи "cookie". [img]images/smiles/icon_smile.gif[/img]

Among the "fields" of each cookie record are the following:
Domain of server that created the cookie
Whether access to the cookie requires a secure HTTP connection
Pathname of URL(s) capable of accessing the cookie
Expiration date of the cookie
Name of the cookie entry
String data associated with the cookie entry

И что??? Как робот подделает кукисы??? Через URL или POST или GET он не передаст, тогда как он их подделает?

Внимание, вопрос для проверки пониманяи доки: как куки попадают на сервер? [img]images/smiles/icon_smile.gif[/img]

ОТ клиента... Но на сервере можно проверять (на PHP) - действительно ли это куки!!! Если это переменная их урла или POST'а отфутболить...

Итак, мы выяснили, что приходят они от клиента. Это концептуально важно.

Второй мировозренческий вопрос: что мешает клиенту передать любые угодные ему куки (не URL, не content data, а именно куки) какие он захочет, а не те, хранить которые его давеча попросил сервер?

У меня на домашнем компе на сайте есть кукисы, а когда я захожу в и-нет на этот сайт - они тама не работают... Так как их можно подделать?

SINbiozz
Они работают не от того, что ты их ставил на своем компе - в целях безопасности [img]images/smiles/icon_smile.gif[/img] куки в теории отдаются только на том сайте, где были установлены. На практике вроде бы можно прочитать куки с других сайтов [img]images/smiles/icon_sad.gif[/img]

Прочитать куки чужого сайта нельзя, поскольку куки отдаются не по запросу сервера по инициативе UserAgent'а.

Схема проста:

1. В заголовке ответа сервера передаются куки, причем здесь же указывается как долго их стоит хранить и для какого домена/каталога они предназначены (не обязателтьно для домена данного сервера).

2. В заголовке запроса UA передает те куки, которые он считает нужным передать. Общее правило таково: отдаются те куки, которые еще не уничтожены [img]images/smiles/icon_smile.gif[/img] и соответствуют домену и каталогу того сервера, на который направляется запрос.

При этом никто не мешает UA к тем кукам, которые переданы ему на хранение, добавить пару-тройку выдуманных им самим. [img]images/smiles/icon_smile.gif[/img]

BTW, не так давно я кидал пример такой работы с куками на стороне UserAgent'а. В исходнике наглядно видны манипуляции с куками, которые производятся исключительно на клиенте, не затрагивая сервер. [img]images/smiles/icon_smile.gif[/img]

чтой-то вы ушли от темы. ну ладно скажу и я свое веское слово.

1. в общем случае нельзя различить кто постит юзер или робот. ибо, если задаться целью зафлудить конкретный форум, не так уж и сложно наваять робота который будет полностью имитировать браузер. кроме того, я сильно подозреваю, что навороченность современных браузеров позволяет написать простейший флуд-робот на javascript.
единственный способ отличить человека от робота - только по наличию интеллекта: заставить отвечать на рзные вопросы, предлагать вводить замазанные цифры на картинке etc. но сие представляется малореальным, ибо все нормальные юзвери забьют на такой форум...

2. в общем случае не представляется возможным (автоматически) отличить флуд от обычного всплеска трафиека. за исключением, конечно, самых тривиальных случаев. но предпололожим, что наш кул хацкер вовсе не дурак.

3. напрашивается вывод: единственная защита от флуда: человеческий разум, сиреч админ.
а что бы в отстутствие админа результаты работы bad guys не выглядели разрушительными, в помощь ему нужен менеджер статистики с несколькими ручками, которые можно будет подкручивать. вот тут есть над чем подумать. например:
<UL TYPE=SQUARE><LI> общее кол-во постов с одного ip в час;
<LI> кол-во постов в один топик с одного ip в час;
<LI> объем постов с одного ip в час;
<LI> общее кол-во постов по форуму в час (в зав. от времени суток)
<LI> …?
</UL>

Почти верно. За одним исключеием: флуд отличается от обычного всплеска трафика. Где ты видел живого человека, который с одного аккаунта постит 3-4 сообщения в минуту? [img]images/smiles/icon_smile.gif[/img]

И, кстати, ориентация на IP бессмысленна. Тот же аптечный форум тестировался через прокси. И использование различных прокси для разных потоков флуд-робота есть совершенно тривиальное решение.

можно приаязать конечно и к аккаунту.
только вот всегда хочется дать право переписки и незарегиным юзерам.

Мне -- не хочется.

Я не люблю незарегистрированных авторов, это развращает.

Crazy
Я захожу на новый форум, вижу топик в котором хочу дать ответ, а мне говорят "Надо обязательно зарегестрироваться"...да щаз...

А кому легко... [img]images/smiles/icon_smile.gif[/img]

Это отсекает прежде всего одноразовых авторов.

Crazy
а) коммьюнити первичнее хацкеров...
б) все многоразовые посетители получаются из одноразовых.

[ 02 Февраля 2002: Исправлено Oleg Fomin ]

Коммьюнити -- это вообще отдельная тема. [img]images/smiles/icon_smile.gif[/img]

Кстати, для любителей форумов без регистрации возможно простое изменение схемы:

1. Постинг разрешен всем.
2. Зарегистрированным авторам не нужно в каждом постинге вводить код (см. выше) в поле.

<BLOCKQUOTE><font size="1" face="Verdana, Tahoma, sans-serif">quote:</font><HR>Автор Сообщения Oleg Fomin:
<STRONG>а) коммьюнити первичнее хацкеров...
</STRONG><HR></BLOCKQUOTE>

CNN: Elite forum beset by online attacks…