32

我所说的“蜜罐”或多或少是指这种做法:

#Register form
<style>
    .hideme{
        display:none;
        visibility: hidden;
    }
</style>
<form action="register.php">
    Your email: <input type="text" name="u-email" />
    Choose a password: <input type="text" name="passwd" />
    <div class="hideme">
        Please, leave this field blank: <input type="text" name="email" />  #the comment is for text-browser users
    </div>
    <input type="submit" value="Register" autocomplete=off />
</form>

//register.php
<?php
if($_POST['email'] != ''){
    die("You spammer!");
}
//otherwise, do the form validation and go on.
?>

更多信息在这里

显然,真实字段是用随机散列命名的,而蜜罐字段可以有垃圾邮件机器人通常填写的不同名称(电子邮件、用户、网站、主页等)。

我喜欢这种技术,因为它不会让用户对 CAPTCHA 感到恼火。

你们中有人对这种技术有一些经验吗?它有效吗?

4

4 回答 4

22

老问题,但我想我会插话,因为我一直在维护 Drupal ( Honeypot ) 的模块,它使用 Honeypot 垃圾邮件预防方法和基于时间的保护(用户不能提交表单少于X秒,并且 X 会随着每次连续提交失败而呈指数增长)。使用这两种方法,我听说过很多很多网站(示例)已经消除了几乎所有的自动垃圾邮件。

与任何基于 CAPTCHA 的解决方案相比,我使用 Honeypot + timestamp 获得了更好的成功,因为我不仅阻止了大多数垃圾邮件发送者,而且也没有惩罚我的用户

于 2013-11-13T03:30:21.430 回答
11

使用以下技术,我可以阻止 100% 的垃圾邮件。

  1. 带显示的蜜罐:无。如果失败,则运行额外的脚本来收集 IP 地址并将其写入 .htaccess 文件中的拒绝行。
  2. 计算评论字段上的 URL 数量。如果失败,只发出警告,因为这可能是人为的。
  3. 衡量发布时间。如果少于 5 秒,显示错误消息并让他们重试,因为人类可以使用自动填充插件快速编写。
  4. 每天使用 crontab 修剪 htaccess 文件,因此拒绝行不会超过 30 行(相应调整)。

拒绝使用 IP 地址访问非常有效,因为机器人一直试图使用相同的 IP 潜入(如果他们更改 IP,那么我将新 IP 放在 htaccess 上,所以没问题)。我每天使用 crontab 自动修剪 .htaccess 文件,这样文件就不会太大。我调整了 IP 的数量以阻止,因此具有相同 IP 的同一机器人将被阻止大约一周左右。我注意到机器人使用相同的 IP 进行了 3 天的多次攻击。

第一个 #1 技巧阻止了大约 99%,#2 阻止了大约 1%,并且机器人不会通过这 2 个,所以#3 可能不是必需的。

于 2014-08-14T05:03:03.153 回答
6

自 2010 年左右以来,我已经在三种形式上使用了蜜罐验证码,直到最近才进行任何修改,效果惊人。我们刚刚进行了一些我们认为可以阻止大多数垃圾邮件机器人的更改,至少在它们变得更加复杂之前是这样。概括地说,这是我们设置它的方式:

每个表单上的一个输入字段是隐藏的(在 CSS 类属性中指定 display:none),默认值为“”。对于屏幕阅读器等,隐藏的输入标签清楚地表明该字段必须留空。默认情况下根本没有长度,如果该字段中有任何内容,我们使用代码服务器端(在我们的例子中是 ColdFusion,但它可以是任何语言)来停止表单提交。当我们以这种方式中断提交时,我们会给予与成功相同的用户反馈(“感谢您的评论”或类似的内容),因此没有失败的外部迹象。

但随着时间的推移,机器人变得聪明起来,我们最简单的形式被垃圾邮件重创。带有前端验证的表单运行良好,我想这是因为它们也不接受任何旧文本输入,而是要求电子邮件地址的结构类似于电子邮件地址,等等。一种被证明易受攻击的表单只有一个用于评论的文本输入和两个用于联系信息(电话号码和电子邮件)的可选输入;重要的是,我认为,这些输入都不包括前端验证。

添加该验证将很容易,我们很快就会这样做。不过,就目前而言,我们已经添加了其他人以“时间陷阱”的方式提出的建议。我们在页面加载时设置一个时间变量,并将该时间戳与提交表单的时间进行比较。目前我们允许在页面上 10 秒后提交,尽管有些人建议 3 秒。我们会根据需要进行调整。在添加前端验证之前,我想看看这对垃圾邮件流量有什么影响。

所以我的经验的快速总结是这样的:蜜罐工作得很好,就像最初设想的那样。(我不记得我最初是在哪里找到它的,但这篇文章与我十多年前看到的第一篇文章非常相似。)通过添加 HTML5 启用的客户端验证,它似乎更加有效。我们认为,我们现在对那些过于仓促的提交施加的服务器端限制会更好。

最后,我会提到像 reCaptcha 这样的解决方案不适合我们。我们花费了大量时间使用 Google 的地图 API 开发 Web 应用程序,它运行良好,直到 Google 在没有警告和过渡建议的情况下更改了他们的 API。我们不会和同一个施虐的配偶结婚两次。

于 2019-03-27T20:49:10.083 回答
4

但是,如果机器人创建者迎合您的页面,他们会看到(或者甚至有一个例行设置要检查)并且很可能会相应地修改他们的机器人,它的效果相对较好。

我的偏好是使用reCaptcha。但以上将阻止一些机器人。

于 2010-09-01T22:00:52.490 回答