I've accepted an answer, but sadly, I believe we're stuck with our original worst case scenario: CAPTCHA everyone on purchase attempts of the crap. Short explanation: caching / web farms make it impossible to track hits, and any workaround (sending a non-cached web-beacon, writing to a unified table, etc.) slows the site down worse than the bots would. There is likely some pricey hardware from Cisco or the like that can help at a high level, but it's hard to justify the cost if CAPTCHA-ing everyone is an alternative. I'll attempt a more full explanation later, as well as cleaning this up for future searchers (though others are welcome to try, as it's community wiki).

情况

这是关于woot.com上的垃圾销售。我是Woot Workshop的总统,Woot Workshop是Woot的子公司,负责设计,撰写产品描述,播客,博客文章,并主持论坛。我使用CSS/HTML,对其他技术几乎不熟悉。我与开发人员密切合作,在这里讨论了所有的答案(以及我们的许多其他想法)。

可用性是我工作的重要组成部分,而让网站变得令人兴奋和有趣则是剩下的大部分工作。这就是下面三个目标的来源。验证码损害了可用性,机器人从我们的垃圾销售中偷走了乐趣和兴奋。

机器人一秒钟就会在我们的首页上猛击数十次屏幕抓取(和/或扫描我们的RSS),以寻找随机垃圾销售。他们一看到这个,就会触发程序的第二阶段登录,点击“我要一个”,填好表格,然后买下这些垃圾。

评价

lc:在stackoverflow和其他使用此方法的站点上,他们几乎总是处理已验证(登录)的用户,因为正在尝试的任务需要这样。

在Woot上,匿名(未登录)用户可以查看我们的主页。换句话说,撞击机器人可以不经过身份验证(除了IP地址之外基本上无法跟踪)。

所以我们又回到了扫描IP, a)在这个云网络和垃圾邮件僵尸的时代是相当无用的,b)考虑到来自一个IP地址的业务数量,捕获了太多无辜的人(更不用说非静态IP isp的问题和试图跟踪它的潜在性能影响)。

还有,让别人给我们打电话是最糟糕的情况。我们能让他们给你打电话吗?

布拉德克:内德·巴切德的方法看起来很酷,但它们是专门设计来击败为网络站点构建的机器人的。我们的问题是机器人是专门用来破坏我们网站的。其中一些方法可能只在很短的时间内有效,直到脚本编写人员将他们的机器人进化为忽略蜜罐,从屏幕上抓取附近的标签名称而不是表单id,并使用支持javascript的浏览器控件。

 

lc再次说道:“当然,除非炒作是你们营销计划的一部分。”是的,绝对是。当物品出现时的惊喜,以及当你设法得到一件物品时的兴奋,可能比你实际得到的垃圾一样重要,甚至更重要。任何消除先到/先得的东西都不利于“赢”的快感。

 

novatrust:就我个人而言,欢迎我们新的机器人霸主。我们实际上提供RSSfeeds,允许第三方应用程序扫描我们的网站的产品信息,但不是在主站HTML之前。如果我的理解正确的话,你的解决方案通过完全牺牲目标1来帮助目标2(性能问题),并放弃机器人将购买大部分垃圾的事实。我给你的回答投了赞成票,因为你最后一段的悲观情绪对我来说是准确的。这里似乎没有什么灵丹妙药。

其余的响应通常依赖于IP跟踪,这似乎是无用的(僵尸网络/僵尸/云网络)和有害的(捕获许多来自相同IP目的地的无辜的人)。

还有其他方法/想法吗?我的开发人员一直在说“让我们只做验证码”,但我希望有更少的侵入性方法,让所有真正想要我们的垃圾的人。

最初的问题

假设你卖的东西很便宜,但有很高的感知价值,而你的数量非常有限。没有人确切地知道你什么时候会卖这个东西。超过一百万人经常来看你卖什么。

你最终会发现脚本和机器人试图通过编程方式[a]找出你何时出售该道具,[b]确保他们是第一批购买该道具的人。这很糟糕,有两个原因:

你的网站被非人类攻击,拖慢了所有人的速度。 编剧最终“赢得”了产品,让常客感到被骗了。

一个看似显而易见的解决方案是为用户在下单前设置一些障碍,但这至少有三个问题:

The user experience sucks for humans, as they have to decipher CAPTCHA, pick out the cat, or solve a math problem. If the perceived benefit is high enough, and the crowd large enough, some group will find their way around any tweak, leading to an arms race. (This is especially true the simpler the tweak is; hidden 'comments' form, re-arranging the form elements, mis-labeling them, hidden 'gotcha' text all will work once and then need to be changed to fight targeting this specific form.) Even if the scripters can't 'solve' your tweak it doesn't prevent them from slamming your front page, and then sounding an alarm for the scripter to fill out the order, manually. Given they get the advantage from solving [a], they will likely still win [b] since they'll be the first humans reaching the order page. Additionally, 1. still happens, causing server errors and a decreased performance for everyone.

另一种解决方案是经常监视ip攻击,阻止它们进入防火墙,或以其他方式阻止它们排序。这个可以解2。和阻止[b],但扫描ip对性能的影响是巨大的,可能会导致更多像1这样的问题。比编剧自己造成的还要严重。此外,云网络和垃圾邮件僵尸的可能性使得IP检查相当无用。

第三个想法,强迫订单表单加载一段时间(比如半秒),可能会减慢快速订单的进度,但同样,脚本编写人员仍然是第一个进入的人,在任何速度下都不会对实际用户造成损害。

目标

将道具卖给非脚本人。 保持网站运行的速度不被机器人减慢。 不要让“正常”用户完成任何任务来证明他们是人类。


当前回答

让浏览网站变得昂贵。

没有办法,我知道,可以保持一个机器人出你的网站。我甚至知道一种服务,有人为你扫描网站。你会怎么处理?

对于机器人来说,最糟糕的事情是,当站点发生变化时。过了一段时间,让机器人继续运行会变得昂贵或无聊。你的网站上可能有更新,看起来像一个新产品,但实际上不是。如果你的更新不规律且不可预测,那么对于机器人来说,事情就会变得非常困难。

禁用IP可能是一种对策,只要它是一个已知的IP。违法者需要使用代理。我所知道的代理工作得很好,但会大大减慢您的速度。

其他回答

一个相当简单的解决方案是跟踪呈现表单和获得响应之间的时间差:机器人通常只有极短的毫秒响应时间,没有用户可以做到这一点;或者响应时间极长,长达数小时。

这里有一个django代码片段,以及更详细的描述:

验证码的替代方案(无需人工交互)

让我们换个角度看问题——你让机器人买你想让真人买的东西,那给机器人一个机会买你不想让真人买的东西怎么样?

有一个随机的机会,一些非显示的html,抓取机器人会认为是真实的情况,但现实的人不会看到(不要忘记,现实的人包括盲人,所以考虑屏幕阅读器等),这通过购买一些非常昂贵的东西(或不进行实际购买,但获得付款细节,让你放在列表上)。

即使机器人切换到“提醒用户”而不是“购买”,如果你能得到足够多的假警报,你可能就能让人们(也许不是所有人,但减少一些诈骗总比没有强)不去打扰它。

我不明白为什么IP地址过滤必须是非常昂贵的。使用IIS,您可以构建一个ISAPI过滤器来在本机代码中执行此操作。我相信apache也有类似的接口。使用客户端的IP地址,您可以为HTTP请求编写一个简单的速率限制器,它不依赖于禁止列表或其他类似的废话。

通过IP或其他机制识别机器人。 总是把那些被识别为机器人的页面放在正常的首页。

被误识别为机器人的真人将得不到这些优惠,但他们也不会注意到。

机器人所有者不会意识到你已经识别了他们,所以他们会停止改编脚本。

从没想过我会推荐闪光灯,但是闪光灯呢?不管是不是交易时间,让服务器发送异步加密内容到flash文件信号。只要响应是相同大小的交易或没有交易,机器人就不能分辨它是哪一个。

在更一般的层面上,您需要关注人类和浏览器拥有的资源,而脚本机器人没有,并利用对人类/浏览器来说容易而对机器人来说很难的东西。验证码显然是一个简单的尝试,但不适合你的网站,因为你说。Flash将淘汰大量的机器人,只留下驱动真正浏览器的(较慢的)机器人。解决方案可能比验证码简单得多,如果它只需要用户点击正确的位置。

利用人类的大规模并行图像处理能力!