PHP：Anti-Flood（Honeypot）

Question

私は、お客様が広帯域設定の写真を（診断チェックの助けとして）アップロードできるように社内で使用しているアップロードフォームを持っており、現在セキュリティ上の懸念を考えています。

私は最初、X分間のソリューションで5以上のアップロードがあると、精巧なIPの禁止を考えましたが、私はそれについてもっと考えてみました - それは必要ありません。ハニーポット技術はまだ機能していますか？ （CSSを介した隠れたフォーム入力、エントリがある場合はスパムとして処理）。

偽の写真をアップロードしようとしているユーザーを緩和しようとする最良の方法についてのあなたの意見は、私は簡単なIP禁止を考えていましたが、それぞれのIPを変更する傾向があるので、通常のユーザーのほとんどを停止します。

一度アップロードした写真は、ユーザーには表示されず、ログインスクリプトの裏側にしか表示されません。私はこのようなシンプルなシステム上でセキュリティで外に出たくはありませんが、普通のユーザーが私たちを混乱させるようにするのは簡単ではありません。

Answer 1

これは非常に独断問題であるため、それは必ずしもStackOverflowのための理想的ではないですが、私はこのための私の個人的な意見/提案を提供します：

私は、一時的なIPブロックの組み合わせをお勧めしますし、GoogleのreCAPTCHAの（ようですSamuelはコメントで言及した）。これはユーザーにとっての障壁ですが、自動スパミングや自動アップロードに対する最も効果的な方法の1つです。 IPブロックと組み合わせることで、スパムボットと悪意のあるユーザーの両方が、大量の画像をアップロードするだけでウェブサイトを溢れさせてしまうのを防ぐことができます。

また、reCAPTCHAは粒状の文字や数字を入力する必要がありません。今日では、ユーザは単にチェックボックスをクリックするだけでよく、場合によってはアイテム/オブジェクトを含む画像をいくつか選択する必要があります。これはまだ妨げになっていますが、人間のユーザにとっては、これは5-15秒（イメージを選択する必要がある場合）を要しません。ほとんどの自動化されたボットをブロックします。

さらに、私はハニーポット技術に対してアドバイスします。隠しフィールドの動作原理は、JavaScriptが実行されないため、ボットは隠しフィールドを埋めるということですが、これはかなり変更されています。それでも落ちるかもしれないボットはまだありますが、ボットはウェブブラウザ（「ハニーポット」フィールドを隠すためにJavaScriptを実行する）の上で実行され、ページ上の可視要素とのみ対話するだけで簡単に記述できます。このように、これはボットのほんの一部を止めるかもしれませんが、私は今日その有効性を疑うでしょう。

もちろん、記載されているように、これは高く評価されているため、あなたの走行距離は異なる場合があり、他のユーザーの意見が異なる場合があります。