Enkol:Portal społeczności/Dział techniczny/Zabezpieczenie antyspamowe
Informacje ogólne[edytuj]
Ze względu na ponowny wzrost ilości spamu zamieszczanego na Enkolu przez boty (mimo zablokowania możliwości edycji i tworzenia artykułów przez użytkowników niezalogowanych) zainstalowałem testowo rozszerzenie ConfirmEdit powodujące, że przeprowadzenie niektórych operacji przez niektóre grupy użytkowników wymagają rozwiązania prostego działania matematycznego (rodzaj CAPTCHA).
Szczegóły[edytuj]
Sposób działania zabezpieczenia:
- utworzenie konta wymaga podania prawidłowego rozwiązania zadania
- podania rozwiązania zadania wymaga zapisanie edycji dokonanej przez:
- niezarejestrowanego użytkownika
- zarejestrowanego użytkownika bez dodatkowych uprawnień
- rozwiązanie zadania konieczne jest także po 3 nieudanych próbach logowania
CAPTCHA wpisywać nie muszą użytkownicy posiadający uprawnienia redaktora, administratora oraz biurokraty. No i, oczywiście, boty.
Eksperymentalnie ponownie dopuściłem możliwość tworzenia i edytowania stron przez niezalogowanych użytkowników. Utrzymanie tego stanu rzeczy zależy od sprawności / niezawodności wprowadzonego teraz zabezpieczenia.
Inne możliwości rozszerzenia[edytuj]
Rozszerzenie ConfirmEdit ma szerokie możliwości konfiguracji. Obecnie CAPTCHA polega na rozwiązaniu prostego zadania matematycznego. Ale to tylko jedna z możliwości. Możliwe jest też ustalenie zestawu pytań, z których na jedno, losowo wybrane, trzeba odpowiedzieć aby zatwierdzić edycję / utworzenie strony, utworzenie konta itd. Można też włączyć CAPTHA polegające na konieczności przepisania losowych wyrazów umieszczonych na losowym tle (nie cierpię tego, sam mam kłopoty z prawidłowym odczytaniem tych koślawych, małokontrastowych wyrazów).
Obecnie z obowiązku wprowadzania CAPTCHA zwolnieni są redaktorzy i admini. Możliwe jest jednak zwolnienie z tego obowiązku i innych grup użytkowników, np. tych, którzy potwierdzili swój adres e-mail poprzez kliknięcie specjalnego linku potwierdzającego przesłanego przez system na ich adres mejlowy. Sądzę, że w przyszłości można włączyć tę opcję - nie będzie utrudniała życia potencjalnym użytkownikom niebędącym redaktorami. Na razie nie ma to znaczenia - i tak jest nas aż 3, w porywach 4...
Konfigurowalny jest też zestaw czynności, które wymagają potwierdzenia za pomocą CAPTCHA. Aktualnie jest to utworzenie konta, utworzenie strony oraz zapisanie edycji. Można jeszcze żądać wpisania CAPTCHA od razu przy kliknięciu opcji edytuj, podczas dodawania linków zewnętrznych (wpisywania adresów url na stronie), podczas wysyłania majla za pośrednictwem serwisu i jeszcze paru innych. Sądzę, że sensowność ewentualnego ich stosowania zweryfikuje praktyka.
Dalsze możliwości zabezpieczania się przed spambotami[edytuj]
Jeśli ConfirmEdit okaże się nieskuteczny albo niewystarczająco skuteczny możliwe będzie przedsięwzięcie kolejnych kroków:
- ponowne zablokowanie możliwości tworzenia / edycji stron przez niezarejestrowanych użytkowników
- ograniczenie możliwości tworzenia / edycji stron tylko do tych zarejestrowanych użytkowników, którzy potwierdzili swój adres e-mail klikając na specjalny link przesłanym im e-mailem przez system (tzw. emailconfirmed)
- wprowadzenie aktywacji kont przez biurokratów lub administratorów.
Osobiście preferuję rozwiązania eliminujące boty już na etapie tworzenia konta - nie są one w stanie się zarejestrować i nie zaśmiecają bazy danych dziesiątkami zablokowanych kont, co ma miejsce teraz. Niestety usunięcie użytkownika z bazy danych nie jest takie proste, a wszelkie umożliwiające to rozszerzenia są niebezpieczne w użyciu, a ich użycie grozi wysadzeniem w powietrze bazy danych...
Proszę o ewentualne uwagi, propozycje itd. na stronie dyskusji niniejszego wpisu. 04:05, 12 lut 2012 (CET)