I've accepted an answer, but sadly, I believe we're stuck with our original worst case scenario: CAPTCHA everyone on purchase attempts of the crap. Short explanation: caching / web farms make it impossible to track hits, and any workaround (sending a non-cached web-beacon, writing to a unified table, etc.) slows the site down worse than the bots would. There is likely some pricey hardware from Cisco or the like that can help at a high level, but it's hard to justify the cost if CAPTCHA-ing everyone is an alternative. I'll attempt a more full explanation later, as well as cleaning this up for future searchers (though others are welcome to try, as it's community wiki).

情况

这是关于woot.com上的垃圾销售。我是Woot Workshop的总统,Woot Workshop是Woot的子公司,负责设计,撰写产品描述,播客,博客文章,并主持论坛。我使用CSS/HTML,对其他技术几乎不熟悉。我与开发人员密切合作,在这里讨论了所有的答案(以及我们的许多其他想法)。

可用性是我工作的重要组成部分,而让网站变得令人兴奋和有趣则是剩下的大部分工作。这就是下面三个目标的来源。验证码损害了可用性,机器人从我们的垃圾销售中偷走了乐趣和兴奋。

机器人一秒钟就会在我们的首页上猛击数十次屏幕抓取(和/或扫描我们的RSS),以寻找随机垃圾销售。他们一看到这个,就会触发程序的第二阶段登录,点击“我要一个”,填好表格,然后买下这些垃圾。

评价

lc:在stackoverflow和其他使用此方法的站点上,他们几乎总是处理已验证(登录)的用户,因为正在尝试的任务需要这样。

在Woot上,匿名(未登录)用户可以查看我们的主页。换句话说,撞击机器人可以不经过身份验证(除了IP地址之外基本上无法跟踪)。

所以我们又回到了扫描IP, a)在这个云网络和垃圾邮件僵尸的时代是相当无用的,b)考虑到来自一个IP地址的业务数量,捕获了太多无辜的人(更不用说非静态IP isp的问题和试图跟踪它的潜在性能影响)。

还有,让别人给我们打电话是最糟糕的情况。我们能让他们给你打电话吗?

布拉德克:内德·巴切德的方法看起来很酷,但它们是专门设计来击败为网络站点构建的机器人的。我们的问题是机器人是专门用来破坏我们网站的。其中一些方法可能只在很短的时间内有效,直到脚本编写人员将他们的机器人进化为忽略蜜罐,从屏幕上抓取附近的标签名称而不是表单id,并使用支持javascript的浏览器控件。

 

lc再次说道:“当然,除非炒作是你们营销计划的一部分。”是的,绝对是。当物品出现时的惊喜,以及当你设法得到一件物品时的兴奋,可能比你实际得到的垃圾一样重要,甚至更重要。任何消除先到/先得的东西都不利于“赢”的快感。

 

novatrust:就我个人而言,欢迎我们新的机器人霸主。我们实际上提供RSSfeeds,允许第三方应用程序扫描我们的网站的产品信息,但不是在主站HTML之前。如果我的理解正确的话,你的解决方案通过完全牺牲目标1来帮助目标2(性能问题),并放弃机器人将购买大部分垃圾的事实。我给你的回答投了赞成票,因为你最后一段的悲观情绪对我来说是准确的。这里似乎没有什么灵丹妙药。

其余的响应通常依赖于IP跟踪,这似乎是无用的(僵尸网络/僵尸/云网络)和有害的(捕获许多来自相同IP目的地的无辜的人)。

还有其他方法/想法吗?我的开发人员一直在说“让我们只做验证码”,但我希望有更少的侵入性方法,让所有真正想要我们的垃圾的人。

最初的问题

假设你卖的东西很便宜,但有很高的感知价值,而你的数量非常有限。没有人确切地知道你什么时候会卖这个东西。超过一百万人经常来看你卖什么。

你最终会发现脚本和机器人试图通过编程方式[a]找出你何时出售该道具,[b]确保他们是第一批购买该道具的人。这很糟糕,有两个原因:

你的网站被非人类攻击,拖慢了所有人的速度。 编剧最终“赢得”了产品,让常客感到被骗了。

一个看似显而易见的解决方案是为用户在下单前设置一些障碍,但这至少有三个问题:

The user experience sucks for humans, as they have to decipher CAPTCHA, pick out the cat, or solve a math problem. If the perceived benefit is high enough, and the crowd large enough, some group will find their way around any tweak, leading to an arms race. (This is especially true the simpler the tweak is; hidden 'comments' form, re-arranging the form elements, mis-labeling them, hidden 'gotcha' text all will work once and then need to be changed to fight targeting this specific form.) Even if the scripters can't 'solve' your tweak it doesn't prevent them from slamming your front page, and then sounding an alarm for the scripter to fill out the order, manually. Given they get the advantage from solving [a], they will likely still win [b] since they'll be the first humans reaching the order page. Additionally, 1. still happens, causing server errors and a decreased performance for everyone.

另一种解决方案是经常监视ip攻击,阻止它们进入防火墙,或以其他方式阻止它们排序。这个可以解2。和阻止[b],但扫描ip对性能的影响是巨大的,可能会导致更多像1这样的问题。比编剧自己造成的还要严重。此外,云网络和垃圾邮件僵尸的可能性使得IP检查相当无用。

第三个想法,强迫订单表单加载一段时间(比如半秒),可能会减慢快速订单的进度,但同样,脚本编写人员仍然是第一个进入的人,在任何速度下都不会对实际用户造成损害。

目标

将道具卖给非脚本人。 保持网站运行的速度不被机器人减慢。 不要让“正常”用户完成任何任务来证明他们是人类。


当前回答

所以问题似乎是:机器人想要他们的“一袋垃圾”,因为它有很高的感知价值,以较低的感知价格。有时候你提供这个道具,机器人就会潜伏,等着看它是否可用,然后它们就会购买这个道具。

既然机器人所有者似乎正在盈利(或潜在盈利),诀窍就是通过鼓励他们购买垃圾来让他们无利可图。

首先,总是提供“一袋垃圾”。

其次,确保那些废话通常都是废话。

第三,频繁地轮换垃圾。

简单的,不是吗?

你需要一个永久的“为什么我们的垃圾有时是垃圾?”链接,以向人类解释发生了什么。

当机器人看到有垃圾并且自动购买垃圾时,接收者会因为他们花了10美元买了一根坏牙签而非常沮丧。然后是一个空垃圾袋。然后是你鞋底的泥土。

If they buy enough of this crap in a relatively short period of time (and you have large disclaimers all over the place explaining why you're doing this), they're going to lose a fair "bag 'o cash" on your "bag 'o crap". Even human intervention on their part (checking to ensure that the crap isn't crap) can fail if you rotate the crap often enough. Heck, maybe the bots will notice and not buy anything that's been in the rotation for too short a time, but that means the humans will buy the non-crap.

见鬼,你的老客户可能会很开心,因为你可以把这变成一个巨大的营销胜利。开始发布“垃圾”鲤鱼卖了多少。人们会回来看看机器人被咬得有多厉害。

更新:我预计你可能会接到一些投诉电话。我不认为你能完全停止。然而,如果这杀死了机器人,你总是可以停止它,并在以后重新启动它。

其他回答

您可以通过同时更新RSS和HTML来减少服务器上的负载,这样机器人就不会对您的站点进行屏幕抓取。当然,这给了机器人和购买你的装备的优势。

如果你只接受信用卡支付(可能是这样,也可能不是,但这显示了我的思路),只允许用户每10次使用同一个账户和/或信用卡购买一次BOC。对一个脚本小子来说,搞到一大堆ip很容易,但搞到一大堆信用卡就不那么容易了。正如你所说的,ip很难被禁止,而暂时禁止信用卡应该是在公园里散步。

你可以让每个人都知道限制是什么,或者你可以告诉他们,因为高需求和/或机器人的兴趣,在不具体说明机制的情况下,对购买实施了限制。

在节流期间的每一次购买尝试都可能引发指数级的倒退——你买了一个BOC,在你再次尝试之前,你必须通过10次销售。不管怎样,你还是会在下一次促销时再次尝试,现在你不得不等待20次、40次、80次……

只有在人类用户不太可能在不到10次销售中获得两次BOC的情况下,这才真正有用。适当地调整数字。

如何像SO那样实现captcha呢?

如果你正常使用这个网站,你可能永远不会看到它。如果你经常重载同一个页面,过快地连续发布评论,或者其他触发警报的事情,让他们证明他们是人。在您的情况下,这可能是不断地重新加载同一页面,快速地跟踪页面上的每个链接,或者快速地填写订单。

如果他们连续x次检查失败(比如2次或3次),给该IP一个超时或其他类似的措施。然后在超时结束时,再次将它们转储回检查。


因为你有未注册的用户访问网站,所以你只有ip地址可以继续。如果愿意,您可以向每个浏览器发出会话并以这种方式跟踪。当然,如果连续(重新)创建了太多会话,还要进行人工检查(以防机器人不断删除cookie)。

至于发现太多无辜的人,你可以在人工检查页面上发布免责声明:“如果有太多匿名用户从同一位置查看我们的网站,也可能出现此页面。我们鼓励你注册或登录以避免这种情况。”(适当调整措辞。)

此外,X个人同时从一个IP加载同一页面的几率是多少?如果它们很高,也许你需要一个不同的触发机制来触发你的机器人警报。


编辑:另一种选择是,如果他们失败了太多次,而你对产品的需求有信心,阻止他们,让他们亲自打电话给你来消除阻碍。

让人们打电话似乎是一种愚蠢的措施,但它可以确保计算机后面有一个人。关键是要让块只在一个几乎不应该发生的情况下出现,除非它是一个机器人(例如,连续多次检查失败)。然后它强迫人类互动——拿起电话。

对于让他们打电话给我的评论,这里显然有一个权衡。你是否担心你的用户会在打折时接几个电话?如果我如此关心产品是否能被人类用户使用,我就必须做出这个决定,可能会在这个过程中牺牲(一小部分)我的时间。

既然你似乎决心不让机器人占据上风/抨击你的网站,我相信手机可能是一个不错的选择。因为我没有从你们的产品中获利,所以我没有兴趣接这些电话。然而,如果你分享一些利润,我可能会感兴趣。因为这是你的产品,你必须决定你有多关心和相应的实现。


其他释放阻塞的方式都不那么有效:超时(但他们会再次关闭你的网站,冲洗-重复),长时间超时(如果真的有人试图购买你的产品,他们会被SOL并因检查失败而受到惩罚),电子邮件(很容易由机器人完成),传真(相同),或蜗牛邮件(花费太长时间)。

当然,您也可以在每个IP每次超时时增加超时时间。只要确保你不是在不经意间惩罚真正的人类。

我喜欢BradC的回答(使用Ned Batchelder文章中的建议),但我想在此基础上再增加一个层次。您不仅可以随机化字段名称,还可以随机化字段位置和使它们不可见的代码。

Now, this last bit is hard part and I don't know exactly how to do it, but someone with more JavaScript and CSS experience might be able to figure it out. Of course, you can't just keep the same positions all the time, because the scripters will just figure out that the element with position (x,y) is the real one. You would have to have some code that changes the positioning of form elements relative to other elements in order to move them off the page, overlay them on each other, etc. Then obfuscate the code that does this with some randomness introduced into it. Automatically change the obfuscation daily, before a new item is made available. The idea is that without a proper CSS and JavaScript implementation (and code to read layout of the page as a human would) a bot won't be able to figure out which elements are being shown to the user. Your server-side code, of course, knows which fields are real and which are fake.

总而言之:

字段名是随机的 字段顺序是随机的 字段隐藏代码很复杂 字段隐藏代码是随机混淆的 服务器端代码每天自动更改随机因子

在你给出的限制条件下,我不认为有办法避免某种形式的“军备竞赛”,但这并不意味着一切都完了。如果你能在军备竞赛中实现自动化,而编剧不能,那么你每次都能获胜。

好吧,所以垃圾邮件发送者在和普通人竞争赢得“垃圾沼泽”拍卖?为什么不让下一次拍卖变成一堆垃圾呢?垃圾邮件发送者可以花大钱买一袋狗屎,我们都嘲笑他们。

让机器人用户无利可图,他们很快就会离开——也就是说,偶尔卖一些人类不可能想要的东西(可能是一袋字面上的垃圾)。