Насколько эффективна техника honeypot против спама?

Question

К «приманку», я имею в виду более или менее эту практику:

#Register form 
<style> 
    .hideme{ 
     display:none; 
     visibility: hidden; 
    } 
</style> 
<form action="register.php"> 
    Your email: <input type="text" name="u-email" /> 
    Choose a password: <input type="text" name="passwd" /> 
    <div class="hideme"> 
     Please, leave this field blank: <input type="text" name="email" /> #the comment is for text-browser users 
    </div> 
    <input type="submit" value="Register" autocomplete=off /> 
</form> 

//register.php 
<?php 
if($_POST['email'] != ''){ 
    die("You spammer!"); 
} 
//otherwise, do the form validation and go on. 
?> 

более

информация here.

Очевидно, что реальные поля называются случайными хэш, а поля приманки могут иметь разные имена (адрес электронной почты, пользователи, веб-сайт, сайт и т.д ..), что спамбот обычно заполняет.

Я люблю это потому что это не приводит к раздражению пользователя CAPTCHA.

Есть ли у кого-нибудь из вас опыт в этой технике? Это эффективно?

Answer 1

Это работает относительно хорошо, однако, если создатель бота обслуживает вашу страницу, они увидят это (или даже проведут рутинную настройку) и, скорее всего, изменят свой бот соответственно.

Предпочитаю использовать reCaptcha. Но вышесказанное остановит некоторых ботов.

Answer 2

Старый вопрос, но я думал, что буду звонить, поскольку я поддерживаю модуль для Drupal (Honeypot), который использует метод предотвращения нежелательной почты Honeypot наряду с защитой от времени (пользователи не могут отправить форму менее чем X секунд, а X увеличивается экспоненциально с каждой последовательной неудачной подачей). Используя эти два метода, я слышал о многих, многих сайтах (examples), которые устранили почти все автоматические спам.

У меня был лучший успех с Honeypot + timestamp, чем у меня с любым решением на базе CAPTCHA, потому что я не только блокирую большинство спамеров, но и не punishing my users.

Answer 3

Используя нижеприведенную технику, я блокирую 100% спама.

1. honeypot с дисплеем: нет. Если это не удается, запустите дополнительный скрипт для сбора IP-адреса и напишите его в файле .htaccess по отключению от строки.
2. подсчитывает количество URL-адресов в поле комментариев. если не удалось, предупредите только потому, что это может быть человек.
3. Измерьте время публикации. если менее 5 секунд, сообщите об ошибке и попробуйте снова, потому что человек может писать довольно быстро с помощью автозаполнения плагина.
4. обрезать файл htaccess с помощью crontab, так что линии запрета не пройдут более 30 строк (отрегулируйте соответственно).

Запрет доступа с IP-адресом очень эффективен, потому что боты продолжают пытаться проникнуть в одни и те же IP-адреса (если они меняют IP-адрес, тогда я помещаю этот новый IP-адрес в htaccess, поэтому никаких проблем). Я обрезаю файл .htaccess ежедневно с помощью crontab автоматически, чтобы файл не был слишком большим. Я настраиваю количество IP для блокировки, так что один и тот же бот с тем же IP-адресом будет заблокирован примерно на неделю или около того. Я заметил, что тот же IP-адрес используется ботом в течение 3 дней, атакуя несколько раз.

Первый # трюк блокирует около 99% и # 2 блоков около 1%, и бот не будет проходить через эти 2, так что # 3 может и не понадобиться.