Blogi » Spämmerit pois keskustelupalstoilta
Jos seurasit MVnetin keskustelupalstaa viime kuukausina, saatoit huomata, että palstalle sateli 3-5 kpl spämmiviestejä noin viikon välein, vaikka foorumialustana toimivassa PHPBB:ssä oli päällä kaikki vakiona tulevat spämmiestot.
Keskustelupalstalla oli käytössä ns. CAPTCHA-tekniikka, joka on lyhennys sanoista Completely Automated Public Turing test to tell Computers and Humans Apart eli lyhyesti suomennettuna automaattinen testi, joka erottaa koneet ihmisistä. PHPBB:ssä siis käytetään CAPTCHAna ns. visuaalista varmennusta, jossa käyttäjän pitää lukea rekisteröintilomakkeessa olevasta kuvasta lyhyt koodi ja syöttää se lomakkeelle (kts. kuva oikealla). Toivomuksena on, että kone ei osaisi tulkita kuvan sisältämää tekstiä.
Spämmerit ovat kuitenkin ovelaa porukkaa. PHPBB:n visuaalinen varmennus on jo aika päivää sitten murrettu. Siksi spämmerit pystyivät rekisteröitymään myös MVnetin keskustelupalstalla huolimatta siitä, että visuaalinen varmennus oli käytössä. Myöskään tunnuksen aktivointi sähköpostitse ei auta pitämään spämmereitä poissa.
PHPBB:n visuaalisen varmennuksen käyttämä kuva on melko selkeä, joten se on helppo lukea myös tietokoneella. PHPBB:seen saa lisäosana hieman parannellun CAPTCHAn, jossa kuvan kirjaimet/numerot eivät ole niin selkeitä ja siksi koneen on vaikeampi niitä lukea. Usein nämä tosin tuottavat vaikeuksia jo ihmisillekin. Itse ainakin olen törmännyt esim. Yahoon palveluissa rekisteröitymisen yhteydessä sellaisiin visuaalisiin varmennuksiin, joiden koukeroista saa arvata, mikä merkki on kyseessä (kts. kuva oikealla). Ei siis kovin käyttäjäystävällistä.
Spämmiviestien estoon on PHPBB:lle tarjolla kuitenkin paljon parempi ja hauskempi lisäosa kuin tylsät "kopioi kuvasta koodi"-varmennukset. MVnetin keskustelupalstalle otettiin siis käyttöön ns. Photo Captcha, jossa rekisteröityjän pitää valita kuvien joukosta vain kissoja esittävät kuvat (kts. kuva alla). Jos hän valitsee jotain muita kuvia, ei rekisteröinti onnistu. Spämmibotit eivät tällaisesta mitään ymmärrä, joten spämmiviestien tulo pitäisi lakata. Ihmisellä tällainen ei taas tuota mitään ongelmia. Käyttäjä voi myös itse vaihtaa kuvat vaikka kissoista koiriksi tai miksi tahansa vain haluaa. Photo Captchan myötä spämmiviestit ovat hävinneet kokonaan MVnetin keskustelupalstalta. Jos oma PHPBB-pohjainen palstasi kärsii spämmiviesteistä, suosittelen kyseisen lisäosan asentamista.
5 kommenttia
Tulin jokin aika sitten ottaneeksi erään yhdistyksen sivut vastuulleni ja sitä kautta jouduin etsimään ratkaisu phpBB:n spam ongelmiin. Omallakin kohdalla tuo phpBB:n visual confirmation ei juurikaan tuntunut spammereitä hidastavan. Itse päädyin kuitenkin vaikeamman captchan sijasta sorkkimaan phpBB:n koodia siten, että uudelleennimesin yhden rekisteröintilomakkeen kentän. Rekisteröinti toimii edelleen ihan mainiosti, mutta spammerien rekisteröinnit loppuivat kuin seinään.
Toikin on ihan hyvä kikka. PHPBB kuitenkin on niin yleinen, että noi spämmerit tietää niiden lomakkeiden rakenteet täysin. Mut kun tekee pienen muutoksen, menee spämmerit sekasin. Toinen hyvä kikka voisi olla lisätä lomakkeeseen joku uusi kenttä, johon vaikka käyttäjän täytyy laskea jonkun helpon yhteenlaskun tulos. Tätä itse käytän palautelomakkeissani. Loppu palautespämmitkin heti.
Itse väänsin omaan vieraskirjaan oman CAPTCHA:n, kun en muuten saanut spämmejä poijes.
Nyt, kun on tuo oma viritys ollu guestbookissa muutamia viikkoja niin yhtään spämmiä ei ole tullut läpi ja systeemi sanoisi, että 6182 spämmiä on blokattu.
Ja, kun tosiaan spämmerit tietävät PHPBB:n yms. käyttämät systeemit niin kannatta miettiä myös jos itse tekisi tuollaisen jolloin sitä ei todennäköisesti yksikään spämmeri osaa purkaa eikä todennäköisesti edes välitä purkaa, kun sitä ei ole muualla, kuin sinun sivuillasi käytössä.
Eikö kaikkiin lomakkeisiin kävisi visuaalisen varmennuksen sijasta MVnetin varmennus (Kirjoita numeroin “yhdeksäntoista") tai sitten varmennus, jossa pitäisi kirjoittaa osa sanasta? Esim.
Kirjoita sanan loppuosa: Taivas on sini______.
Estäisikö tämä roskapostit?
A.S: Tuo toimisi ehkä sivustoilla, joissa ei ole kovin suuria kävijämääriä. Roskapostittajat tuskin vaivautuvat keksimään keinoja, miten varmennus kierretään. Mutta jos kyseessä on esim. Googlen Gmail- tai Microsoftin Hotmail-palvelut, joissa on aivan huima määrä käyttäjiä, tuollaiset tekstipohjaiset varmennukset tuskin toimisivat. Teknisesti ne on aika helppo kiertää, varsinkin jos varmennuksen kysymystä ei vaihdeta dynaamisesti. Itsekin olen jo joutunut tuota varmennuskysymystä kerran muuttamaan, kun spämmiä tuli varmennuksesta huolimatta. Mutta siis pienillä sivustoilla tuo todennäköisesti estää melko hyvin roskapostit. Varmennuksesta kannattaa kuitenkin aina tehdä sellainen, että se kysymys on helppo vaihtaa.