scripting - 阻止脚本编写者抨击您的网站

Question

I've accepted an answer, but sadly, I believe we're stuck with our original worst case scenario: CAPTCHA everyone on purchase attempts of the crap. Short explanation: caching / web farms make it impossible to track hits, and any workaround (sending a non-cached web-beacon, writing to a unified table, etc.) slows the site down worse than the bots would. There is likely some pricey hardware from Cisco or the like that can help at a high level, but it's hard to justify the cost if CAPTCHA-ing everyone is an alternative. I'll attempt a more full explanation later, as well as cleaning this up for future searchers (though others are welcome to try, as it's community wiki).

情况
这是关于 woot.com 上的垃圾袋销售。我是 Woot Workshop 的总裁，Woot 的子公司负责设计、撰写产品说明、播客、博客文章和主持论坛。我使用 CSS/HTML，对其他技术几乎不熟悉。我与开发人员密切合作，并讨论了这里的所有答案(以及我们拥有的许多其他想法)。
可用性是我工作的重要组成部分，让网站令人兴奋和有趣是其余大部分工作。这就是以下三个目标的来源。 CAPTCHA 会损害可用性，机器人从我们的垃圾销售中窃取乐趣和兴奋。
机器人为了 Random Crap 特卖，每秒钟都在我们的首页上进行数十次屏幕抓取(和/或扫描我们的 RSS)。当他们看到这一点时，它会触发程序的第二阶段登录，点击我想要一个，填写表格，然后购买废话。
评估

lc: On stackoverflow and other sites that use this method, they're almost always dealing with authenticated (logged in) users, because the task being attempted requires that.

在 Woot 上，匿名(未登录)用户可以查看我们的主页。换句话说，slamming bots 可以是未经身份验证的(并且基本上是不可追踪的，除非通过 IP 地址)。
所以我们又回到了扫描 IP，这 a) 在这个云网络和垃圾邮件僵尸的时代相当无用，b) 考虑到来自一个 IP 地址的企业数量，它捕获了太多无辜者(更不用说问题了非静态 IP ISP 以及试图跟踪此事件的潜在性能影响)。
哦，让人们调用我们将是最糟糕的情况。我们可以让他们给你打电话吗？

BradC: Ned Batchelder's methods look pretty cool, but they're pretty firmly designed to defeat bots built for a network of sites. Our problem is bots are built specifically to defeat our site. Some of these methods could likely work for a short time until the scripters evolved their bots to ignore the honeypot, screen-scrape for nearby label names instead of form ids, and use a javascript-capable browser control.

lc again: "Unless, of course, the hype is part of your marketing scheme." Yes, it definitely is. The surprise of when the item appears, as well as the excitement if you manage to get one is probably as much or more important than the crap you actually end up getting. Anything that eliminates first-come/first-serve is detrimental to the thrill of 'winning' the crap.

novatrust: And I, for one, welcome our new bot overlords. We actually do offer RSSfeeds to allow 3rd party apps to scan our site for product info, but not ahead of the main site HTML. If I'm interpreting it right, your solution does help goal 2 (performance issues) by completely sacrificing goal 1, and just resigning the fact that bots will be buying most of the crap. I up-voted your response, because your last paragraph pessimism feels accurate to me. There seems to be no silver bullet here.

其余的响应通常依赖于 IP 跟踪，同样，这似乎既无用(使用僵尸网络/僵尸/云网络)又有害(捕获许多来自同一 IP 目的地的无辜者)。
任何其他方法/想法？我的开发人员一直在说“让我们只做 CAPTCHA”，但我希望所有真正想要我们废话的人都有更少的侵入性方法。
原始问题
假设您正在销售具有很高感知值(value)的廉价商品，而您的数量非常有限。没有人确切知道您何时会出售此商品。超过一百万的人经常来看看你卖的东西。
最终，脚本编写者和机器人试图以编程方式 [a] 找出您何时出售所述物品，并 [b] 确保他们是最先购买该物品的人之一。这很糟糕有两个原因:

您的网站遭到非人类的抨击，让每个人的一切都变慢了。

编剧最终“赢得”了产品，让常客感到受骗。

一个看似显而易见的解决方案是为您的用户在下订单之前创建一些箍环，但至少存在三个问题:

用户体验对人类来说很糟糕，因为他们必须破译 CAPTCHA、挑选猫或解决数学问题。

如果感知到的 yield 足够高，并且人群足够大，那么某些群体会找到办法绕过任何调整，从而导致军备竞赛。 (调整越简单，尤其如此；隐藏的“评论”表单，重新排列表单元素，错误标记它们，隐藏的“陷阱”文本都将起作用一次，然后需要更改以针对此特定表单进行战斗.)

即使脚本编写者无法“解决”您的调整，也无法阻止他们猛烈抨击您的首页，然后发出警报让脚本编写者手动填写订单。鉴于他们从解决 [a] 中获得优势，他们可能仍然会赢得 [b]，因为他们将是第一个到达订单页面的人。此外，1. 仍然会发生，导致服务器错误和每个人的性能下降。

另一种解决方案是观察 IP 是否频繁命中，阻止它们进入防火墙，或以其他方式阻止它们订购。这可以解决 2. 并防止 [b] 但扫描 IP 对性能的影响是巨大的，并且可能会导致比脚本编写者自己造成的更多问题，例如 1.。此外，云网络和垃圾邮件僵尸的可能性使得 IP 检查相当无用。
第三种想法，强制加载订单一段时间(例如，半秒)可能会减慢快速订单的进度，但同样，脚本人员仍将是第一个进入的人，以任何速度都不会损害实际用户。
目标

将物品出售给不会编写脚本的人。

保持网站以不被机器人拖慢的速度运行。

不要用要完成的任何任务来麻烦“普通”用户来证明他们是人类。

Answer 1

如何使用 CAPTCHA 实现类似 SO 的功能？

如果您正常使用该站点，您可能永远不会看到它。如果您碰巧经常重新加载同一页面，过快地发布连续评论，或其他触发警报的内容，请让他们证明他们是人类。在您的情况下，这可能是同一页面的不断重新加载，快速跟踪页面上的每个链接，或者填写订单的速度太快而无法人工。

如果他们连续 x 次未通过检查(例如 2 或 3 次)，则为该 IP 设置超时或其他此类措施。然后在超时结束时，再次将它们转储回支票。

由于您有未注册的用户访问该站点，因此您只能继续使用 IP。如果您愿意，您可以向每个浏览器发出 session 并以这种方式进行跟踪。并且，当然，如果连续(重新)创建太多 session (以防机器人不断删除 cookie)，请进行人工检查。

至于抓到太多无辜者，您可以在人工检查页面上张贴免责声明:“如果有太多匿名用户从同一位置浏览我们的网站，也可能会出现此页面。我们鼓励您注册或登录以避免这。” (适当调整措辞。)

此外，X 个人同时从一个 IP 加载相同页面的几率是多少？如果它们很高，那么您的机器人警报可能需要不同的触发机制。

编辑:另一种选择是，如果它们失败太多次，并且您对产品的需求充满信心，则阻止它们并让他们亲自调用您删除阻止。

让人们打电话似乎是一种愚蠢的措施，但它可以确保计算机后面有人。关键是让块只在几乎永远不会发生的情况下放置，除非它是机器人(例如，连续多次检查失败)。然后它强制人类交互 - 拿起电话。

为了回应让他们调用我的评论，这里显然存在这种权衡。您是否足够担心确保您的用户在销售时能够接听几个电话？如果我如此担心产品是否会吸引到人类用户，我将不得不做出这个决定，可能会在此过程中牺牲我的(少量)时间。

由于您似乎决心不让机器人占据上风/抨击您的网站，因此我相信手机可能是一个不错的选择。由于我不会从您的产品中获利，因此我对接听这些电话没有兴趣。然而，如果你分享一些利润，我可能会感兴趣。由于这是您的产品，您必须决定您的关心程度并相应地实现。

释放块的其他方法并不那么有效:超时(但他们会再次抨击您的网站，重复冲洗)，长时间超时(如果真的有人试图购买您的产品，他们将成为 SOL 并因未通过检查而受到惩罚)、电子邮件(很容易通过机器人完成)、传真(相同)或蜗牛邮件(耗时太长)。

当然，您可以在每次超时时增加每个 IP 的超时时间。只要确保你不会无意中惩罚真正的人类。