Поведение спам-бота

[error_ok]

Здравствуйте!

Назрел вопрос по борьбе со спам-ботами. На своем форуме IPB 2.3.6 убрал captcha-защиту (т.к. процент отсева ботов меня не устраивает), но вместо нее поставил ловушку – скрытое поле input text, заполнение которого приводит к редиректу на другую страницу сайта и бану по ip по средствам записи в htaccess.

90-95% ботов банятся, однако, 5-10% процентов каким-то образом проходят регистрацию. То, что они заполняют поле, вполне вероятно (но я не уверен на 100%), т.к. они заполняют другие дополнительные поля всяким бредом, типа страна, город и пр.

Вопрос такой, каким образом бот проходит регистрацию? «Кликает» ли он по кнопке или проходит регистрацию по каким-то шаблонам, в которые «не вписываются» иные доп. поля, не входящие в шаблон форума изначально? Или бот прочитывает в файле css, что слой, в котором форма, скрыты display:none и т.о. «решает» не вписывать ничего в поле формы?

[Arhar]

поле должно работать по другому - обязательно для заполнения, если не заполнено правильным образом - то вероятнее всего бот

заполнятся должно например через javascript по событию onclick/onfocus/onblur поля ввода пароля (его всегда надо вводить, так что юзер в него попадет)

другой вопрос - это отсев буратин без включенного яваскрипта - им надо выводить предупреждение и делать кнопку сабмита неактивной (т.е. делать ее по умолчанию неактивной, а по событию onload - активной)

 

P.S. секрет в том, что бот не выполняет яваскрипт (для надежности надо его спрятать в файл, а не писать в код страницы)

яваскрипт может быть например таким:

при генерации страницы в это поле дается случайное значение v

яваскрипт выполняет r=f(v) и пользователь, не зная того, посылает на сервер r

на сервере мы знаем v, выполняем f(v) и сравниваем с пришедшим r

ну дальше ты понел...

[error_ok]

Большое спасибо, Arhar, за совет!

Думаю, что именно так и сделаю с обязательным заполнением поля: либо юзеров буду напрягать его заполнять собственноручно, ответив на какой-то вопрос, либо автоматом, как Вы и предложили через JavaScript.

 

Кстати, из того, что писал ранее, и немного исправив форму, оказалось, что бот, видимо, понимал, что поле скрыто и отказывался что-то вводить в него (видимо, лез в css и читал класс, ведь input находился в контейнере div, который и был display:none в css-файле), потому как сделав поле видимым отсев ботов стал близок к 100%. За трое суток только 1 проник из 52 забаненых.