Vlákno názorů k článku Trhem proti spamu! od junix - Jeste dalsi drobnost. Jak by se klient mel...

Jeste dalsi drobnost. Jak by se klient mel chovat k "podvrzenym" ci nespravnym resenim puzzle? Neboli - bude akceptovat pouze prvni mozne reseni? Potom kdyz se odesilatel preklepne, tak se jeho mail nedoruci a napr. se mu posle informacni zprava? Nebo se neposle nic, mail se nedoruci a odesilatel o tom nebude vedet? Zda se, ze opet narazime na to, ze do tohoto mechanismu spadne spousta "legalni" posty. Nebo bude pokusu vic? Kolik? Bude se po kazdem pokusu posilat upozorneni o uspechu/neuspechu? To se zas dostavame do neprijatelnych objemu komunikace (1 mail vygeneruje nekolik dalsich).

Wrong way :o)

Mozna by bylo dobre se na to taky podivat z pohledu poskytovatelu. Tohle je totiz vymitani certa dablem. Dalo by se rict "Spamem proti spamu". Pokud vam kazdy neznamy mail (spam + regulerni posta od neznamych uzivatelu) vygeneruje minimalne dalsi mail (onen request na puzzle), mame tu dvojnasobek komunikace. Dalsi vec je - casova odezva. Pochybuju, ze by nekdo poslal mail a potom cekal, nez mu prijde puzzle, aby ho mohl potvrdit a mail se dostal k prijemci. Vzhledem k tomu, ze tohle muze trvat hodiny nebo dny, nebo nemusi k nicemu podobnemu ani dojit (SMTP to nezarucuje), tak obzvlaste dial-upy by myslim podobne reseni rozhodne neuvitaly. Podle me je tohle reseni na nic, stejne jako reseni pomoci placeni...

Jen doufam, ze se naka "chytra hlava" jako treba Bill Gates nepokusi ho realizovat.

Na webu se vali spousta "systemu", na detekci "human" formy za browserem. Urcite jsi videl ty puzzlata, kdy se ti ukaze v graficky podobe 4-5 pismen cislic a ty je musis "opsat".

Opravdu myslite, ze rozpoznavani obrazu neni tak daleko, aby ta cisla v obrazku rozpoznalo? Vypocetni vykon neni problem, poskytnou ho zombies, stejne jako dnes ochotne rozesilaji SPAM.

I kdyby byla 10% uspesnost, tak spammer musi minimalne mit spravnou fungujici adresu, ktera neni typu 123123213@yahoo.com. ;)

Viz posledni veta meho prispevku: I kdyby byla jen 10% uspesnost uhodnuti takoveho hesla strojem, spammerum se to porad vyplati, stejne jako se jim vyplati programovat web roboty na hledani adres. Navic na webu si ty kontroly kazdy resi jinak (jiny html kod atd), pri nejake jednotne forme puzzle (min. jednoznacne urcene co je obrazek a kam se ma poslat vysledek) se obtiznost jeste snizi.

Proste se mi to zda velmi malo ucinne za to pohodli, ktere by se tomu muselo obetovat, takze se to jen stezi muze prosadit. Nemluve o nevidomych, ti by vypadli ze hry uplne, zatimco dneska je pro ne email jedna z technologii, se kterou snad nemaji problem.

Na webu se vali spousta "systemu", na detekci "human" formy za browserem. Urcite jsi videl ty puzzlata, kdy se ti ukaze v graficky podobe 4-5 pismen cislic a ty je musis "opsat".

Urcite se tomu nejak rika, ale nevim jak a nechce se mi to hledat.

-D

OK, uznavam ze tohle je lepsi nez stavajici reseni typu "kdyz prijde mail ktery nema v Subjectu heslo, odesli odpoved 'Pokud mi chcete poslat mail, pridejte do Subjectu heslo'", ale i tak to ma par nevyhod:

1) Odesilatel si musi na nejakem centralnim miste ukladat minimalne Message-Id odeslanych zprav, z cehoz plynou vyssi naroky na dostupnost emailoveho serveru.

2) Puzzle ma byt jednorazovy nebo trvaly?

2a) Pokud jednorazovy, tak se sice zbavime spamu, ale usetrene usili investujeme do reseni puzzle pri odesilani kazdeho mailu. Navic pri urcitem mnozstvi puzzle kazdemu dojde invence (jedine je generovat strojove, ale pak je bude snazsi i strojove resit).

2b) Pokud trvaly, tak sice staci kazdemu pro kazdeho adresata vyresit jen jeden puzzle, ale o to jednodussi to budou mit i spammeri - musi sice prijit na reseni jednoho puzzle, ale potom vam mohou posilat spamu kolik chteji. Pokud si budeme casteji menit puzzle, tak viz bod 2a).

3) Jak maji puzzle vypadat, aby je pochopil a dovedl rychle vyresit kazdy potencialni uzivatel? Musi byt ve vsech jazycich, ve kterych je prijemce dnes schopen prijimat mail. Navic pokud dnes mohou dva cizinci (dejme tomu Francouz co neumi cesky a Cech co neumi francouzsky) jakz takz domluvit pomoci anglictiny, kterou ani jeden z nich moc dobre neovlada, jakou maji sanci napsat hadanku, kterou ten druhy pochopi a zodpovi presne tak, jak si autor predstavoval? Pokud by se mely vyloucit false positives (coz je docela zadouci, kdyz uz se zavadi tak zasadni zmeny), musi byt puzzles naprosto trivialni, tudiz s nemalou uspesnosti resitelna i strojem (neco jako kontrolni kody v obrazcich na nekterych webech).

Jsem četl v CW článek o tom, že kdo není ve Whitelistu, tomu dojde žádost, aby laskavě napoprvé zafaxoval.

Taky to mělo nějaké mouchy, jako že se zprávy vracely coby nedoručitelné atp.

Puzzle preci nemusi byt klasicky email, muze to mit pevne danou strukturu (napr. xml schema) a emailovy klient ho muze handlovat jinak.

Navic odesilatel vi, jaky email poslal a tudiz muze "parovat" potvrzeni s odeslanou postou.

Myslim, ze si to dokazu predstavit v praxi. Urcite to je lip tech. proveditelny nez mikroplatby, a mam dojem, ze jsem to cetl nekde u M$.

-D

No jo, ale ten puzzle je take e-mail, tudiz musi projit stejnymi pravidly jako ostatni posta, tudiz pokud jedno z tech pravidel bude znit "na kazdou prichozi zpravu odesli puzzle", tak staci, aby se setkaly dva takoveto ynteligentni systemy a deadlocknou se (a jeste budou zatezovat sit posilanim puzzle).

Nebo chcete puzzle nejak oznacovat, aby automat rozpoznal prichozi puzzle a predal ho rovnu uzivateli? Pak vam misto spamu budou chodit spamy maskovane jako puzzle (a pokud bych vam nekdy psal ja, tak to taky zakamufluju jako puzzle, protoze na dopisovani si s automatem skutecne nemam naladu).

Na puclika odpovida preci clovek a ne automaticky "odpovidac". Tedy zacykleni nehrozi. Pokud se puclik odesle na nesmyslnou adresu tak se preci nic nedeje. Nebude potvrzeni a tedy je to jen dalsi atribut toho, ze dany email muze byt spam, protoze neni potvrzeny.

Co se tyce standardni formy pucliku - neni preci problem takovy standard vymyslet.

Tato technika se nedá dobře kombinovat se stávající mailovou infrastrukturou.

Spam dnes chodí s podvrženou adresou odesílatele, tedy u většiny současného spamu se odešlete puzzle na nesmyslnou adresu. Příjemci takových z jejich hlediska hovadin Vám příliš nepoděkují, spíš máte šanci, že i vašu další poštu budou likvidovat jako spam.

Pokud takové puzzle dojde někomu, kdo má obdobný systém, a oba "odpovídače" budou dostatečně špatně nakonfigurované, počítače se puclíkama utlučou. Žádná standardní formá puclíků neexistuje, a když Vám to bude chodit jako bounces, budete muset pečlivě studovat bounces, a akceptovat i spam, zabalený jako bounce.

Tedy smysl to dává, adresátovi to pomůže, a zbytek světa spíše naštve. Prakticky je pro to software a několik firem to provozovalo jako službu, reakce byly celkově spíš negativní.

Už teď chodí dost "dobře míněného" autogenerovaného balastu, např. nesmyslné hlášky z hloupě nakonfigurovaných antivirů.

Tento napad jsem kdysi zaslechnul:

Jedna se o system potvrzovani emailu a whitelistu. Tedy prijde-li email od adresata, ktereho nemam ve whitelistu,
poslu mu zadost o potvrzeni, ve ktere bude takovy ten human detection "puzzle". Tedy odesilatel bude muset rucne potvrdit svoji spravu - poslat reply dany potvrzeni se spravne vyresenym puzzlem. V pripade spamu to mozne nebude, protoze spamera by to stalo mnoho usili a tedy i penez. Strojove to resit taky nepujde.
Pokud potvrzeni dojde, email se oznaci jako potvrzeny a tedy non-spamovy. Pokud potvrzeni nedojde, bude email ve stavu, kdy ho bude mozne cist, ale uz se k nemu muzeme chovat jako ke spamu - tedy ho treba tridit...nebo vubec necist apod.

Pokud je adresat ve whitelistu potvrzeni vyzadovano neni.

Tahle technika se da urcite dobre kombinovat se stavajici mailovou infrastrukturou a taky se stavajicimi antipsam prostredky.

Dava vam to smysl?