Фейковые заказы

[DAN]

У кого фейковые заказы, скажите, а способы оплаты/доставки одинаковый или разные у всех?

[freelancer]

недавно в лс интересный способ написали

"добавить на форму несколько фейковых полей и скрыть их, пользователь поля не видит потому не заполняет, робот видит и заполняет", такие заказы можно резать

[deeman]

недавно в лс интересный способ написали

"добавить на форму несколько фейковых полей и скрыть их, пользователь поля не видит потому не заполняет, робот видит и заполняет", такие заказы можно резать

можно и добавить любое новое обязательное поле вида вы человек: да или нет

бот не будет о нем знать, а изменить алгоритм под каждый сайт не будет в состоянии, на каждом сайте будет свой идентификатор поля

[AlexDW]

недавно в лс интересный способ написали

"добавить на форму несколько фейковых полей и скрыть их, пользователь поля не видит потому не заполняет, робот видит и заполняет", такие заказы можно резать

 

Самый разумный вариант. При условии, конечно, что робот/спамер его заполнит

[afwollis]

Helloween, успокойся.

разницу/причину deeman сразу описал:

стандартный заказ не подходит для атаки, потому что каждый шаг собирает данные в сессию и шаги обмениваются данными через нее, то есть чтобы 6 шаг мог оформить заказ нужно вызвать все предыдущие.

этой атаке подвержено любое одностраничное оформление заказа.

simplecheckout выбрали учитывая популярность модуля на данном движке.

 

"добавить на форму несколько фейковых полей и скрыть их, пользователь поля не видит потому не заполняет, робот видит и заполняет"

зачем боту заполнять поля, незаполнение которых не вызывает ошибки?

бот/владелец даже не узнает о том, что появились НОВЫЕ поля - ведь старые на месте, бот их заполняет исправно и заказ формируется.

подтверждение по email - разумная вещь.

[freelancer]

зачем боту заполнять поля, незаполнение которых не вызывает ошибки?

бот/владелец даже не узнает о том, что появились НОВЫЕ поля - ведь старые на месте, бот их заполняет исправно и заказ формируется.

 

справедливо если бот работает именно так )

для этого сценария можно рядом с

<input name="firstname">

вывести

<input name="nonfake_firstname"> 

а в движке резать всё где заполнено firstname

[Helloween]

Helloween, успокойся.

разницу/причину deeman сразу описал:

этой атаке подвержено любое одностраничное оформление заказа.

simplecheckout выбрали учитывая популярность модуля на данном движке.

 

зачем боту заполнять поля, незаполнение которых не вызывает ошибки?

бот/владелец даже не узнает о том, что появились НОВЫЕ поля - ведь старые на месте, бот их заполняет исправно и заказ формируется.

подтверждение по email - разумная вещь.

 

Я спокоен.

Предложенное freelancer решение самое грамотное.

Я применял такое не один раз и оно работает лучше любой капчи!

Если создать поля для ввода данных и обозвать их как поля для адреса, города, телефона... и скрыть средствами css, робот их увидит и заполнит, а человек - нет. Вот вам и профит. Знаю о принципах работы роботов на примере allsubmitter - сам им пользовался в свое время. Так что, вместо того, чтобы пытаться тут задвинуть грамотные советы и отстоять дырявую форму, лучше послушайте и проверьте на практике.

[deeman]

отстоять дырявую форму, лучше послушайте и проверьте на практике.

в чем ее дырявость? если робот действует ровно так же как человек, заполняя все поля и отправляя форму, что должен делать модуль? вы уж либо употребляйте термины и обосновывайте их, либо не употребляйте.

а то опять же "дырявостью" называется работа модуля сама по себе, а в обоснование этого ставится в пример другая страница, хотя она даже не была выбрана для атаки и не атаковалась, но это совсем не значит, что ее нельзя атаковать, точно так же нельзя утверждать, что нельзя атаковать любую другую форму.

но для вас это уже обоснование того, что мой модуль "дыряв".

Делать выводы на обратных утверждениях совсем неправильно, если A не равно B, то совсем не значит !A равно B

[Nashlab]

У меня первыми атакованны сайты без симплы и с очень измененной одностраничной формой заказа - своей с тремя дополнительными полями в заказе нестандартного названия.

 

Атаковать можно ЛЮБУЮ форму заказа - даже многостраничную - а если есть доступ к мылу (злоумышленник заранее создал кучу майлов - что не проблемма) то можно атаковать и сайт  с обязательной регистрацией и подтверждением по мылу.

 

Простите здесь нет базы и симплы  однако спамят! Значит симпла и мифическая запись в базу не причем.

 

Не спамят только движки с подтверждением регистрации по смс.

 

Если вас спамят сейчас - поставьте капчу у злоумышленника уйдет какоето время на переделку проэкта.

 

Спамят тех кто так или иначе в топе - типа деньги есть.

Змінено 12 березня 2015 користувачем Nashlab

[Helloween]

в чем ее дырявость? если робот действует ровно так же как человек, заполняя все поля и отправляя форму, что должен делать модуль? вы уж либо употребляйте термины и обосновывайте их, либо не употребляйте.

а то опять же "дырявостью" называется работа модуля сама по себе, а в обоснование этого ставится в пример другая страница, хотя она даже не была выбрана для атаки и не атаковалась, но это совсем не значит, что ее нельзя атаковать, точно так же нельзя утверждать, что нельзя атаковать любую другую форму.

но для вас это уже обоснование того, что мой модуль "дыряв".

Делать выводы на обратных утверждениях совсем неправильно, если A не равно B, то совсем не значит !A равно B

 

Представьте, у вас есть танк, но вам не нравится тяжелая башня и вы ставите пластиковую коробку вместо нее ради того, чтобы было легче ее поворачивать. Естественно, защиты у нее никакой - даже из пукалки ее пробьют. Таким образом, вы заменили бронированную башню танка на, по сути, заведомо дырявую. Что вы мне еще хотите доказать?!

Вы сделали хорошую форму быстрого заказа - молодец. Она стала популярна - поздравляю, вдвойне молодец! НО!!! Оказалось, что она  дырявая. И вместо того, чтобы позаботиться о своих клиентах и, соответственно, привлечь новых, благодаря доработке формы, обеспечив защиту, вы ведете себя неадекватно.

Вам freelancer подсказал простую и безумно легкую в реализации идею защиты модуля от дырок, я вам расписал подробно как это делается. И вместо того, чтобы воспользоваться этой халявой и быстренько внедрить эту защиту в свой модуль, вы продолжаете спорить, почем зря!

Удачи, разработчик пластиковой башни для танка :)

[deeman]

...

Удачи, фантазёр

 

И опять же в каждом слове подмена понятий. Я просто понял, что Вы испытываете личную неприязнь именно ко мне.

Все доводы хороши, если они против меня.

Забавно :)

[chukcha]

НО!!! Оказалось, что она  дырявая. И вместо того, чтобы позаботиться о своих клиентах и, соответственно, привлечь новых, благодаря доработке формы, обеспечив защиту,

 

В каком месте он дырявая?

Через нее внедряется чужой код? Ломается сайт?

Еще аргументы....

[freelancer]

всё ждал когда же Helloween, приведет пример уязвимости модуля симпл.

нельзя сказать "форма дырявая" и "удачи", нужно подтвердить свои слова, иначе так можно прослыть пустословом.

[Helloween]

Удачи, фантазёр

 

И опять же в каждом слове подмена понятий. Я просто понял, что Вы испытываете личную неприязнь именно ко мне.

Все доводы хороши, если они против меня.

Забавно :)

Что вы курите, мистер?

Какая личная неприязнь? Я вас даже не знаю. И о том, что этот модуль ваш - только сейчас узнал. :)

Может быть это у вас личная неприязнь ко мне и вы пытаетесь переложить с больной головы на здоровую? Вы почитайте тему. Началось все с того, что люди стали жаловаться на фейковые заказы. Я попробовал выяснить, почему они появились и пришел к выводу, что они появились у тех, кто ставил ваш модуль. Здесь вам нужно было забеспокоиться не о том, чтобы создать у форумчан негативное отношение ко мне, а о том, чтобы сделать свой модуль лучше, чтобы защитить своих клиентов. Но вы этого не сделали. Вы поступили с точностью до наоборот. Вы стали говорить, что модуль супер-пупер великолепен, а кому не нравится - тот сам дурак.

Ну в чем проблема добавить в шаблон пару инпутов и скрыть их стилями? И вместо того, чтобы спорить о дырявости, получить благодарности от своих клиентов и привлечь тем самым новых клиентов.

Я уже писал, что хотел тоже установить модуль быстрого заказа, но как раз эта тема меня остановила. Если бы вы не спорили, а доделали модуль, я бы его купил - это уже плюс клиент. Помимо этого, почитав тему и увидев, что модуль теперь защищен, добавилось бы еще какое-то число клиентов.

Вы же продолжаете упираться.

[Helloween]

В каком месте он дырявая?

Через нее внедряется чужой код? Ломается сайт?

Еще аргументы....

 

Дырявая - это не только когда внедряется чужой код, но и когда с помощью роботов можно создать проблемы.

 

всё ждал когда же Helloween, приведет пример уязвимости модуля симпл.

нельзя сказать "форма дырявая" и "удачи", нужно подтвердить свои слова, иначе так можно прослыть пустословом.

 

Смотрите выше, ответ чукче.

 

Я смотрю, тут целое ополчение уже собирается. :)

 

P.S. - Я смотрю, мне даже кто-то минусануть уже успел...  Херой какой-то :)

[chukcha]

Для тех кто в танке...

 

Модуль до такой степени универсален, что защиту можно написать самому, если голова на плечах. И этой защитой можно внести дырку в свою систему - не так ли?

 

Предложенный вариант защиты  - не самый верный, потому что волна фейковых заказов снизошла почти на нет - у потенциального заказчика денюШка закончилась

[chukcha]

 

Я смотрю, тут целое ополчение уже собирается. :)

Не туда смотрите.

[freelancer]

Helloween, видимо я не так вас понял. вы путаете "дыры" (в моём понимании это уязвимость) с фейковыми заказами, которые впрочем может создавать не только робот, но и человек

[Helloween]

Для тех кто в танке...

 

Модуль до такой степени универсален, что защиту можно написать самому, если голова на плечах. И этой защитой можно внести дырку в свою систему - не так ли?

 

Приходите вы в ресторан, платите за салат "Цезарь", а вас ведут на кухню и говорят - салат настолько универсален, что вы сами можете себе его приготовить и даже подрезать в него еще чего пожелаете, если, конечно, нож в руках держать умеете...

[Helloween]

Helloween, видимо я не так вас понял. вы путаете "дыры" (в моём понимании это уязвимость) с фейковыми заказами, которые впрочем может создавать не только робот, но и человек

Возможно я путаю, так как мне не важно, как называют это хакеры, или кому это интересно. Для меня любая уязвимость, в том числе и отсутствие защиты от спама - это дыра.

Благо, хоть с кем-то у нас нашлось понимание :)

[chukcha]

:Если хотите, то да..

Вы приходит в пиццерию и заказываете пиццу, при это ингредиенты вы выбираете сами.

И... если пиццерия предоставит  мне услугу по сбору пиццы, то я с удовольствием этим воспользуюсь. Потому что пицца, в первую очередь - это хлебная лепешка.

[Helloween]

:Если хотите, то да..

Вы приходит в пиццерию и заказываете пиццу, при это ингредиенты вы выбираете сами.

И... если пиццерия предоставит  мне услугу по сбору пиццы, то я с удовольствием этим воспользуюсь. Потому что пицца, в первую очередь - это хлебная лепешка.

 

Не совсем так. Модуль продается в том виде, в котором есть. Автор не предлагает собирать его по микромодулям.

И в среде программирования давно так повелось, что если пользователи обнаруживают в продукте прореху и сообщают автору, он старается исправить, выпустить патчи и т.п. Будут ли обновления платными, или нет, это уже решать самому автору, но говорить пользователям, что они сами должны исправлять... Ну не вариант.

[deeman]

Не совсем так. Модуль продается в том виде, в котором есть. Автор не предлагает собирать его по микромодулям.

И в среде программирования давно так повелось, что если пользователи обнаруживают в продукте прореху и сообщают автору, он старается исправить, выпустить патчи и т.п. Будут ли обновления платными, или нет, это уже решать самому автору, но говорить пользователям, что они сами должны исправлять... Ну не вариант.

а ничего, что средствами самого же модуля, можно сделать новое кастомное поле, сделав его обязательным и задав проверку по регулярному выражению, которое человек заполнит верно, а бот нет? а можно оставить одно поле почты и всё. но это же в ваших понятиях недопустимая уязвимость.

как раз таки до упора спорит тут всеми только один человек - это вы.

такой довод, что атаке подверглись все популярные движки, вам не довод.

вы даже его извратили в то, что я оказывается теперь не хочу ничего добавлять, хотя я парой страниц ранее написал, что добавляю проверку.

вы вместо того, чтобы ответить за свои прошлые слова про дырявость теперь переключились на меня лично и что я не хочу ничего делать, хотя я парой страниц ранее написал о проверке, а всем тем, кто обратился ко мне лично давно помог?

что ж вы за человек такой?

[Helloween]

Да нормальный я человек :)

Пока вы сегодня не упомянули, что это ваш модуль, я не смотрел на ники тех, кто тут что пишет. И не обращался к вам как к автору модуля.

И когда я писал о том, как можно реализовать проверку, вы могли бы просто написать, да, примерно так и сделаю. А вы что вместо этого написали?

[deeman]

а нормальный я человек :)

Пока вы сегодня не упомянули, что это ваш модуль, я не смотрел на ники тех, кто тут что пишет. И не обращался к вам как к автору модуля.

И когда я писал о том, как можно реализовать проверку, вы могли бы просто написать, да, примерно так и сделаю. А вы что вместо этого написали?

стоп. я вас просил не употреблять слово дыра, то есть уязвимость, потому что это не уязвимость и никакой уязвимостью не является, вы же пытаетесь настаивать на обратном, проводя аналогии, делая обратные выводы и т.п.

и почему вы считаете, что я должен вам отвечать в виде "сделаю примерно так". я написал как я хочу сделать сам и сделаю это в том виде, в каком захочу.

но вы просто напросто не понимаете, что любая антибот защита обходится, ЛЮБАЯ, было бы желание обойти. особенно хорошо она обходится, когда реализована идентично от сайта к сайту, достаточно составить список стандартных полей и заполнять только их, либо заполнять только обязательные.

самая лучша спам защита - ИНДИВИДУАЛЬНАЯ - и она как раз таки делается средствами модуля за пять минут, спросите у моих же пользователей.

будем дальше спорить? или вы будете дальше придумывать аналогии и чернить модуль на выводах от обратного?

 

 

И вот вам пример: была бы в модуле изначально проверка на скрытые поля, как предложил фрилансер, человек, который бы делал бота под мой модуль, сразу бы учел этот момент в боте и добавил проверку - не заполнять такие поля, они легко вычисляются, они нестандартные. В итоге фейковые заказы это не остановило бы, а вы бы и дальше кричали: в модуле дыра.

Теперь вы видимо скажете, но ведь даже попыток не было! Хорошо, итерация вторая, добавляем новую проверку, добавляют в бот обход и ее.

Что дальше?

А если на каждом сайте индивидуальная проверка, будет ли кто-то заморачиваться с таким сайтом?

 

И после этого вы снова скажете, что в модуле "уязвимость"?

Вы это можете сказать бабушкам у подъезда, либо тем, кто совсем ничего не понимает в этом, то есть доверчивым людям, которые верят на слово.

И то, что вы тут вторую страницу таким образом пытаетесь очернить модуль мне ну совсем не нравится.