I've accepted an answer, but sadly, I believe we're stuck with our original worst case scenario: CAPTCHA everyone on purchase attempts of the crap. Short explanation: caching / web farms make it impossible to track hits, and any workaround (sending a non-cached web-beacon, writing to a unified table, etc.) slows the site down worse than the bots would. There is likely some pricey hardware from Cisco or the like that can help at a high level, but it's hard to justify the cost if CAPTCHA-ing everyone is an alternative. I'll attempt a more full explanation later, as well as cleaning this up for future searchers (though others are welcome to try, as it's community wiki).

情况

这是关于woot.com上的垃圾销售。我是Woot Workshop的总统,Woot Workshop是Woot的子公司,负责设计,撰写产品描述,播客,博客文章,并主持论坛。我使用CSS/HTML,对其他技术几乎不熟悉。我与开发人员密切合作,在这里讨论了所有的答案(以及我们的许多其他想法)。

可用性是我工作的重要组成部分,而让网站变得令人兴奋和有趣则是剩下的大部分工作。这就是下面三个目标的来源。验证码损害了可用性,机器人从我们的垃圾销售中偷走了乐趣和兴奋。

机器人一秒钟就会在我们的首页上猛击数十次屏幕抓取(和/或扫描我们的RSS),以寻找随机垃圾销售。他们一看到这个,就会触发程序的第二阶段登录,点击“我要一个”,填好表格,然后买下这些垃圾。

评价

lc:在stackoverflow和其他使用此方法的站点上,他们几乎总是处理已验证(登录)的用户,因为正在尝试的任务需要这样。

在Woot上,匿名(未登录)用户可以查看我们的主页。换句话说,撞击机器人可以不经过身份验证(除了IP地址之外基本上无法跟踪)。

所以我们又回到了扫描IP, a)在这个云网络和垃圾邮件僵尸的时代是相当无用的,b)考虑到来自一个IP地址的业务数量,捕获了太多无辜的人(更不用说非静态IP isp的问题和试图跟踪它的潜在性能影响)。

还有,让别人给我们打电话是最糟糕的情况。我们能让他们给你打电话吗?

布拉德克:内德·巴切德的方法看起来很酷,但它们是专门设计来击败为网络站点构建的机器人的。我们的问题是机器人是专门用来破坏我们网站的。其中一些方法可能只在很短的时间内有效,直到脚本编写人员将他们的机器人进化为忽略蜜罐,从屏幕上抓取附近的标签名称而不是表单id,并使用支持javascript的浏览器控件。

 

lc再次说道:“当然,除非炒作是你们营销计划的一部分。”是的,绝对是。当物品出现时的惊喜,以及当你设法得到一件物品时的兴奋,可能比你实际得到的垃圾一样重要,甚至更重要。任何消除先到/先得的东西都不利于“赢”的快感。

 

novatrust:就我个人而言,欢迎我们新的机器人霸主。我们实际上提供RSSfeeds,允许第三方应用程序扫描我们的网站的产品信息,但不是在主站HTML之前。如果我的理解正确的话,你的解决方案通过完全牺牲目标1来帮助目标2(性能问题),并放弃机器人将购买大部分垃圾的事实。我给你的回答投了赞成票,因为你最后一段的悲观情绪对我来说是准确的。这里似乎没有什么灵丹妙药。

其余的响应通常依赖于IP跟踪,这似乎是无用的(僵尸网络/僵尸/云网络)和有害的(捕获许多来自相同IP目的地的无辜的人)。

还有其他方法/想法吗?我的开发人员一直在说“让我们只做验证码”,但我希望有更少的侵入性方法,让所有真正想要我们的垃圾的人。

最初的问题

假设你卖的东西很便宜,但有很高的感知价值,而你的数量非常有限。没有人确切地知道你什么时候会卖这个东西。超过一百万人经常来看你卖什么。

你最终会发现脚本和机器人试图通过编程方式[a]找出你何时出售该道具,[b]确保他们是第一批购买该道具的人。这很糟糕,有两个原因:

你的网站被非人类攻击,拖慢了所有人的速度。 编剧最终“赢得”了产品,让常客感到被骗了。

一个看似显而易见的解决方案是为用户在下单前设置一些障碍,但这至少有三个问题:

The user experience sucks for humans, as they have to decipher CAPTCHA, pick out the cat, or solve a math problem. If the perceived benefit is high enough, and the crowd large enough, some group will find their way around any tweak, leading to an arms race. (This is especially true the simpler the tweak is; hidden 'comments' form, re-arranging the form elements, mis-labeling them, hidden 'gotcha' text all will work once and then need to be changed to fight targeting this specific form.) Even if the scripters can't 'solve' your tweak it doesn't prevent them from slamming your front page, and then sounding an alarm for the scripter to fill out the order, manually. Given they get the advantage from solving [a], they will likely still win [b] since they'll be the first humans reaching the order page. Additionally, 1. still happens, causing server errors and a decreased performance for everyone.

另一种解决方案是经常监视ip攻击,阻止它们进入防火墙,或以其他方式阻止它们排序。这个可以解2。和阻止[b],但扫描ip对性能的影响是巨大的,可能会导致更多像1这样的问题。比编剧自己造成的还要严重。此外,云网络和垃圾邮件僵尸的可能性使得IP检查相当无用。

第三个想法,强迫订单表单加载一段时间(比如半秒),可能会减慢快速订单的进度,但同样,脚本编写人员仍然是第一个进入的人,在任何速度下都不会对实际用户造成损害。

目标

将道具卖给非脚本人。 保持网站运行的速度不被机器人减慢。 不要让“正常”用户完成任何任务来证明他们是人类。


当前回答

我不是一个网页开发人员,所以对此持保留态度,但这是我的建议-

每个用户都有一个cookie(包含一串随机数据),决定他们是否看到当前的垃圾销售。

(如果你没有饼干,你就看不到它们。因此,不启用cookie的用户永远不会看到糟糕的销量;新用户在第一次浏览页面时永远不会看到它们,但之后会看到)。

每次用户刷新网站时,他都会将当前的cookie传递给服务器,服务器会根据这个cookie来决定是给他一个新的cookie还是保持当前的cookie不变;并以此为基础,决定是否在页面上展示垃圾促销。

为了保持服务器端的简单性,你可以说在任何时候,只有一个cookie会让你看到糟糕的销售情况;还有一些其他的cookie被标记为“在最近2秒内生成的”,这些cookie将始终保持不变。因此,如果刷新页面的速度快于此,则无法获得新的页面。

(…啊,好吧,我想这并不能阻止机器人恢复旧的饼干并把它传给你。不过,也许在某个地方还是有解决方案的。)

其他回答

我可能没有完全理解这个问题,但我想到了这个主意。使用AJAX以固定的间隔绘制和更新动态内容,同时使用刷新故意减慢整个页面的加载速度。

例如,让整个页面在第一次访问时花整整15秒绘制,之后在设定的时间(比如5秒)后使用AJAX自动刷新动态内容。重载整个页面将是一个主要的缺点。页面可能会定期显示新信息(包括广告),但是使用重载重绘整个页面会慢得多。

脚本kiddies可以找出AJAX查询并将其自动化,但是,对来自同一IP的请求进行速率限制也很容易。由于标准人类用户没有从浏览器发起这些请求的典型方法,因此很明显,从同一IP向AJAX URL发起的高速率请求将由某种形式的自动化系统发起。

可能没有好的解决方案,只要这袋垃圾的意外分布只与一个时间点挂钩——因为机器人有足够的时间和资源,以短时间间隔不断撞击网站。

我认为你必须添加一个额外的标准,即机器人不能从它们的一端进行屏幕抓取或操作。例如,在任何时候,有5000人每分钟多次访问页面,寻找这袋垃圾,每秒钟有50个机器人敲打页面。在它出现后的几秒钟内,50个机器人就会把它抢购一空。

因此,您可以添加一个条件,即垃圾首先出现在任何用户的整数IP的模量30是一个随机数,比如17。也许每秒钟都会添加一个随机数,所以这些废话会在30秒内逐步向所有客户端显示。

现在想象一下前几秒钟会发生什么:目前,所有50个机器人都能立即抢购所有垃圾,而人类得到0。在这个方案下,6秒后只有10个机器人通过了,而1000个人类通过了,大部分垃圾都流向了人类。你可以根据用户数量和可用单位调整时间和随机模数来优化间隔。

Not a perfect solution, but an improvement. The upside is many more humans than bots will benefit. There are several downsides, mainly that not every human gets an equal shot at the crap on any particular day - though they don't have much of a shot now, and I'd guess even without bots, most of them get shut out at random unless they happen to refresh at just the right second. And, it wouldn't work on a botnet with lots of distributed IPs. Dunno if anyone's really using a botnet just for woot crap though.

构建一个更好的机器人

市场告诉你一些事情。他们想要那袋垃圾。所以与其与脚本斗争(RIAA vs文件共享任何人?)构建一个更好的机器人。

为每个人提供一个安装的应用程序,它与脚本kidide可以组合的任何东西一样好,甚至更好。用户会安装你的品牌应用,而每次出现这种情况。应用程序会自动尝试购买。如果错过了当前的b-o-c,应用程序就有一张“门票”,让它有更好的机会进行下一次b-o-c销售。因此,如果用户滚动自己的脚本,他们就无法获得下一个b-o-c销售的“门票”,而官方应用程序的用户则可以。

在b-o-c销售之间,应用程序可以显示当前出售的物品。见鬼,让用户可以告诉woot应用程序寻找“记忆棒”

当官方的woot b-o-c+脚本应用程序一样好或不好时,谁会构建自己的脚本?

此外,woot还有另一种与客户联系的方式。

你的客户告诉你他们想要什么。

你今天在灯上赚的钱足够支付思科的验证码程序了!!我们在购买演唱会门票和其他东西时都习惯了它们。这看起来很公平。今天的抽签方式让一些人感到不安,并提出了关于抽签或抽签的问题。我相信你在尝试之前已经调查过了,但这并不是一个有趣的购买boc的方式……这让所有的兴奋都消失了!

首先获得BOC或优秀的产品会吸引人们到Woot。如果没有理由在等待随机的BOC出现的同时购买大量你不需要的东西,销量就会下降。验证码可能是打败这些人的唯一方法,同时还能保持Woot的兴奋感。

我是上次第一个让它订购BOC的人之一,我的第一个订单被丢弃了,第二个订单通过了,但后来被从我的账户中扣除了。我很沮丧。我离开了Woot,没有像过去那样购买物品。我愿意今天再试一次,就这样。如果没有验证码,我估计以后也不会这么做了。

有许多网站试图成为Woot那样的网站。他们当然达不到你的水平。我发现自己阅读产品描述,不是因为我想要这个产品,而是为了好玩而查看。我不希望看到有人拿着一个更公平的项目进来,然后拿走你的大部分业务。

这只是我的个人观点。因为我是一名护士,所以我对机器人和电脑几乎一无所知。但我的建议是升级到更高的级别…带着机器人的人只需要和我们其他人站在一起,这就是它应该有的方式:) 罗莉

停止所有的机器人将是相当困难的,特别是没有使用验证码。我认为您应该从实现各种各样的措施的立场来处理这个问题,使脚本编写人员的生活更加困难。

我相信这是一项可以淘汰其中一些人的措施:

您可以尝试为每个响应随机分配标记的id和类名。这将迫使机器人依赖于重要标签的位置和上下文,这需要一个更复杂的机器人。此外,如果你想在CSS中使用相对或绝对定位,你可以随机化标签的位置。

这种方法最大的缺点是,你必须采取措施确保你的CSS文件不是客户端缓存的,因为它当然需要包含随机的id和类名。克服这一问题的一种方法是不使用外部CSS文件,而是将CSS与随机选择器放在页面的<head></head>部分中。这将允许随机化的CSS与页面的其余部分一起被客户端缓存。