Интернет, компьютеры, софт и прочий Hi-Tech

Каким должен быть вход на сайт

Не секрет, что по-настоящему популярные сайты — те, где люди могут регистрироваться, общаться, чем-то делиться с миром или просто высказывать свои мнения.

Однако у медали, как говорится, есть и обратная сторона. Чем успешнее ресурс, чем больше труда вложено в его продвижение, тем привлекательней он становится для спамеров, СЕО-оптимизаторов, взломщиков и прочих нехороших деятелей. Как только сайт поднимается в рейтингах поисковых систем, они слетаются подобно осам на мёд, пытаясь паразитировать на чужих достижениях. Поэтому речь пойдёт о распространённых способах защиты, об их эффективности и о выводах, которые следует делать пользователям.

CAPCHA, что расшифровывается примерно как «публичный и полностью автоматизированный тест Тьюринга для отделения людей от машин», — это защитная система, показывающая символы на картинках. Суть заключается в следующем. Роботы (боты), автоматически размещающие спам, не могут читать наборы корявых букв и цифр, разобрать такое способен только человек (да и то не всегда). Следовательно, есть гарантия, что логин и пароль для входа на сайт вводит не робот.

Да, действительно, прочитать вырвиглазное месиво из символов иногда настолько трудно, что приходится нажимать кнопку, показывающую другую картинку. Какое уж тут автоматическое распознавание, о нём даже мечтать не приходится. Но...

Абсолютное большинство форумов и популярных сайтов страсть как любят записывать пользователям cookies — и предлагают поставить галочку «входить автоматически». Для хомячков сие весьма удобно: не нужно каждый раз напрягаться с вводом логина и пароля, авторизация происходит сама по себе благодаря данным, сохранённым в этих самых cookies.

Следовательно, спамеру достаточно зарегистрироваться, ввести символы с картинки, притворится человеком, получить в своё распоряжение оные cookies и потом запускать какие угодно программы для автоматического размещения спама.

Правда, от этого тоже есть кое-какая защита. Например, если форум работает на движке phpBB, то отправлять сообщения одно за другим нельзя. Нужно делать интервалы. Но для бота сие не является проблемой. Всё равно за ночь, пока спят администраторы и модераторы, удастся нашлёпать очень много всякого разного.

Кроме кода с картинки, попадаются и дополнительные защитные средства в виде различных вопросов. Мол, а скажи-ка нам, мил человек (ежели ты действительно человек), сколько будет два плюс три. Или что-нибудь в том же духе.

На русскоязычном форуме Ubuntu в дополнение к CAPCHA предлагается назвать действующего президента Российской Федерации, а также указать, в каком году состоялась Олимпиада-80. Правда, меняют эти вопросы, наверное, ещё реже, чем происходят выборы и олимпиады, что не может не наводить на мысль о некоторой ленивости тамошних администраторов. По крайней мере, год назад они, вопросы, были теми же самыми (да и администраторы тоже, надо полагать).

Но, опять же, всё это может защитить только на этапе регистрации. Спамеру достаточно нанять некоторое количество школьников и студентов, которые оную регистрацию успешно осуществят, подтвердят, пришлют заказчику данные для входа — и всё, весёлая жизнь модератору обеспечена. Тем более что бан по IP нынче не является адекватным средством, ведь блокировать доводится целые диапазоны адресов, от чего всегда страдают добропорядочные пользователи.

Некоторое время назад на сервисе Привет.ру код CAPCHA и прочие «проверки на человечность» нужно было вводить при каждом входе, автоматической авторизации в наличии не имелось. Надо полагать, хомячкам такое неудобство страшно не нравилось, поэтому теперь никаких картинок с кодами нет.

Когда CAPCHA действительно приносит пользу, так это в процессе смены пароля. Поскольку большинство народонаселения работает с операционной системой Windows, то у них рано или поздно заводятся вирусы. Однако если нужно ввести код с картинки, то вредоносные программы могут только красть пароли, но не менять их автоматически.

Пожалуй, наиболее умно это реализовано на Rambler, где картинки не вырвиглазные, автоматически определяется раскладка клавиатуры, процесс происходит при наличии защищённого соединения, да и вообще регулярно менять пароль на том сервисе вовсе не обременительно.

Второй способ — подтверждение адреса электронной почты. Логика такова: если регистрируется человек, а не робот, то у него имеется действующий e-mail, куда разумное существо способно зайти и нажать на присланную ссылку.

Иногда администратор активирует новую учётную запись вручную, и на адрес e-mail приходит уведомление, мол, теперь можете заходить на наш форум и начинать общаться, спорить, высказывать ценные для всего человечества мнения, ругаться с другими и вообще всячески повышать рейтинг ресурса.

Пусть хоть сотня школьников попытается создать учётные записи, но спамеру доведётся слишком долго ждать, пока всё это будет активировано. Особенно если администратор не является простаком.

Третий способ — предварительная модерация комментариев. Штука, конечно, полезная, но только в том случае, если таковых появляется не очень много. На больших форумах с вавилонским столпотворением реализовать ручную фильтрацию нереально.

К тому же, всё зависит от специфики ресурса. Например, если это виртуальный клуб, посвящённый компьютерной безопасности, то помощь людям нужна срочно. Некогда ждать, пока модератор соблаговолит проверить и опубликовать, лучше сразу пойти на другой сайт, где можно получить ответ гораздо быстрее. Следовательно, для популярных ресурсов данный способ непригоден.

Наиболее важным средством обеспечения безопасности в любом случае распоряжается... сам пользователь. Потому что оное средство — электронный почтовый ящик.

Как утверждали хозяева сервиса Liveinternet.ru, девяносто процентов всех взломов происходят именно посредством перехвата контроля над e-mail.

Вы наверняка видели рядом с формой входа ссылку вроде «Забыли пароль?», после нажатия на которую появляется предложение восстановить (чаще всего — сменить) этот самый пароль именно с помощью почтового ящика, являющегося единственным настоящим идентификатором пользователя.

Излишне говорить о том, как важно держать пароль от e-mail в неприкосновенности, сие и так само собой разумеется. Но жизнь такова, что от неприятностей не застрахован никто. Следовательно, если нехороший человек всё же сумеет взломать вашу учётную запись на каком-либо сайте, то он сменит всё: и пароль, и всякие ответы на глупые секретные вопросы, и адрес e-mail, чтобы вы уже не смогли восстановить доступ к аккаунту.

Так вот, толковый администратор сайта должен настраивать систему так, чтобы ссылка с подтверждением приходила не только на новый адрес электронной почты (вам не принадлежащий), но и на прежний (который вы, возможно, ещё контролируете). И чтобы изменения не вступали в силу, пока не будут нажаты обе ссылки.

Подобная система была реализована на популярном сайте «Вконтакте». Она также действует в платёжной системе Webmoney. Но это, к сожалению, единичные примеры действительно эффективного подхода к обеспечению безопасности.

Ещё пару слов о так называемом фишинге, когда пользователю подсовывают фальшивые формы входа на сайт. О данном трюке пишут много, но, пожалуй, не слишком понятно для неискушённого пользователя. Вкратце правило формулируется так: прежде чем входить на сайт, обязательно посмотрите в адресную строку. Если там что-то не то, отличающееся от привычного имени домена хотя бы на одну букву, то пароль вводить не следует ни в коем случае.

Также не рекомендуется нажимать кнопки на разных новостных порталах, призывающие поделиться новостью в социальных сетях (но, естественно, сначала авторизоваться на оных).

Если ещё более коротко: логин и пароль нужно вводить только при наличии стопроцентной уверенности в том, что вы зашли именно туда, куда вам нужно.

Автор: vanilinkin, специально для xBB.uz, 06.08.2011

Предыдущие публикации:

Последнее редактирование: 2011-08-06 15:17:37

Метки материала: сайт, вход на сайт, каким должен быть вход на сайт, сайты, www, интернет, веб, it, web, internet, создание сайтов, ит, инет, интернет-сайт, интернет сеть, веб сайт, юзабилити, юзабилити сайтов, интернет и www, о юзабилити, о юзабилити сайтов

1 комментарий

Оставьте, пожалуйста, свой комментарий к публикации

Представиться как

Антибот:

Просьба не постить мусор. Если вы хотите потестить xBB, воспользуйтесь кнопкой предварительного просмотра на панели инструментов xBBEditor-а.