ウェブサイトにサインアップするロボット
数日前、一部のロボットがWebサイトにサインアップし始め(2、3日で約30)、Webサイトで何もしません(探しているものが見つからないようです)ために)。
サインアップフォームにCAPTCHAを入れたくないのですが、これらのロボットにWebサイトにサインアップさせるリスクはありますか?
CAPTCHA以外にできることはありますか(IPアドレス、パスワード、メールアドレスが異なります...)?
フォームにハニーポットがあることを確認してください。これは、カスタムスクリプトが記述された瞬間にハニーポットを簡単にバイパスできる汎用ロボットである場合にのみ機能します。
また、CAPTCHAに熱心でない場合は、 Solve Media's オルタナティブを試して、同時にサイドで少し稼ぐことができます。最近、代替としてそれらを使用し始めたのはチケットマスターだったと思います。
CURLの自動化を停止するのを見た他の何かは、ユーザーのブラウザーにCookieを設定し、JavaScriptとそのCookieの組み合わせを使用して_POSTデータを暗号化することです。 cURLをリバースエンジニアリングする必要があるため、cURLで作業している場合、これは非常に苦痛になります。これもまた、人々を遅くしますが、誰かが十分な時間を持っている場合、ボットの使用を根絶します。
もちろん、彼らが本当にあなたに会いたいなら、彼らはあなたのサイトでサインアップ/アクションごとに本当の人間に0.01ドルから0.05ドルを支払うためにAmazon Turkを使うことができます。
ボットを回避するには、次のいずれかを試してください。ただし、CAPTCHAはスクリプト攻撃を回避するための最良の方法です。
- これを避けるためにCSRFトークンを使用できます
- JavaScriptを使用して
form要素から値を挿入または削除し、サーバー側で同じことを確認します。 - サインアップ時にHTTPリファラーを確認する
Nameまたはpseudoという名前の非表示の入力を追加し、de postを処理するときに空かどうかを確認します。これにより、ロボットのサインアップの95%がクリアされます!
もちろん、セッションと非表示の入力にタイムトークンを追加し、それをフォームページとプロセスページ間のタイミングのセッション中の時間と比較します。