几天前,垃圾邮件防护功能被提升了一个档次。

不幸的是,它远远超过了目标。现在,一旦我连续进行两次编辑(这经常发生–我很草率),就会收到“人工验证”和完全不可读的验证码。平均需要五次重载才能获得略为可读的重载,即使如此,我仍在猜测(有时甚至猜错了)。

请调低过滤器,或至少切换到可读的验证码。

实际上,以前是否没有规则,一旦贡献者有足够的声誉,就可以相信他们不会成为机器人。是关闭电源还是我记得这个错误?

评论

我们是在聊天还是在主站点上谈论?

我认为最近几天对此有一个欺骗(让我看看,虽然可能一直在聊天中),但是的,我有同样的问题。真烦人。

机器人,好尝试。

@KonradRudolph-很少看到垃圾邮件或故意破坏的原因之一是因为通过删除或回滚编辑可以很快将其删除。

@ChrisF垃圾邮件发送者通常是1个代表用户,但验证码也会影响声誉极高的用户,而这些用户极不可能是垃圾邮件。与验证码相比,还有更好的方法来处理故意破坏行为(例如,mod的选项可以在特定时间内撤消用户的所有操作)。

很有意思,我不是机器人。请告诉我更多信息。

我不是数字,我是自由人!

@ObsessiveFOSS您很幸运,很单纯。您的经验根本不能代表事态。

+1表示“完全不可读”。我现在经常得到图像,其中所谓的“单词”被切掉一半并包裹在水平边缘上!这只是一个玩笑;任何人都无法解密这些东西。

“我不是一个没有感情的机器人,我不是你所看到的。我来帮助你解决你的问题,以便我们可以自由...”

您只是SO的“ 1968” :)

您正在看一部老电影。它显示宴会在进行中,客人们正在享用生蚝。该主菜由煮饭的狗塞满米饭组成。生牡蛎比煮熟的狗对您的接受程度低。

但是数学公式不是更好的验证码吗?

我的同事曾经开玩笑说一个验证码,它在识别机器人方面非常好,因为如果您能猜出它,那就意味着您不能成为人类。

@Emrakul:如果在WolframAlpha中打入按键仍然可以使您成为人类,那么我想我会习惯的。

#1 楼


几天前,垃圾邮件防护功能被提升了一个档次。


实际上,它已被修复。两周前,我们发现了一个错误,该错误很长一段时间无法阻止编辑被限制(非常狭窄的例外除外)。

为记录起见,我将其发布在内部聊天室中:



谢谢你证明我的权利:)

认真地说:节流已经固定,可以一直做应该做的事情,而且从技术上讲并没有提高一个档次我很清楚这对用户并没有真正的改变。我只是在解释发生了什么。


和完全不可读的验证码。


是的,这是个问题。 Meta和通用互联网都充满了抱怨,许多reCAPTCHA最近变得几乎无法解决。这是我们必须以另一种方式解决的问题。


实际上,以前没有规则,即一旦贡献者拥有足够的声誉,就应该相信他们不会成为机器人?是关闭电源还是我记得这个错误?


在大多数情况下您都没有记错。每次编辑只能将10k用户的时间限制为10秒(与低回复用户的30秒不同)。

更新。最近,我们一直在内部进行大量讨论,我们都同意当前的状况很糟糕。理想情况下,人类永远不会看到验证码,如果他们毕竟得到了验证码,那么它应该是可以合理解决的。我们正在讨论要走的几条路线,但最重要的是,我们的节流/机器人检测必须变得更加智能。

暂时,我们已经做出了一项改变,至少应该大大减少在此处讨论的特殊情况下(提交修改)会出现此问题。现在,对于1万名用户来说,这应该几乎是不可能的,并且与<1万名用户而言,在正常操作期间碰到这个油门的可能性要小得多。

当然,这不是结束,只是一步,但是我希望您同意这是正确的方向。

*下一个构建

评论


嗯我几乎可以肯定,至少有些提示验证码的修改不在10秒之内。我很快,但没有那么快。 ;-) +1为先知力量。 (但是,哦,这不是错误!这是一个功能)

–康拉德·鲁道夫(Konrad Rudolph)
2012年8月14日在11:44



-1,因为没有理由阻止高级用户在10秒的时间内编辑其答案。

–sbi
2012年8月14日12:44

人们还可以将发现该错误所需的时间解释为证明在这种情况下实际上没有必要进行节流。

–疯狂科学家
2012年8月14日13:09

@MadScientist我不能否认你在这里有一点。

– balpha
2012年8月14日17:36

我没有理由限制连续快速地编辑同一篇文章。阻止编辑所有帖子可能是一个好主意,但是可以通过阻止快速编辑许多不同的帖子来阻止。

– CodesInChaos
2012年8月15日在8:31

但是,@ MadScientist,这是否并不意味着荷兰人也可以摆脱防洪屏障,因为自建造之日起就不再需要防洪屏障了?

– Arjan
2012年8月15日16:47

@arjan有关如何更改油门系统的想法,请参阅相关的元文章。我当然同意需要对用户操作进行速率限制,但是可以以较不烦人的方式实施这些操作,并且在被黑用户屈服于最大损害的最坏情况下仍然有用。除主持人帐户外,一个用户可能造成的损害相对有限。

–疯狂科学家
2012年8月15日在17:02



验证码是阻止机器人的一种手段。它们是人类要克服的,因此不是防止人类做任何事情的手段。但是,验证码对人类是一个障碍。因此,需要有充分而令人信服的理由来应用它们。但是,我认为没有理由假设高级用户是机器人,到目前为止,还没有人提出使用它们的理由。 (模糊的挥舞手法和喃喃地说“安全性”并不是提出令人信服的理由的方法。)因此,请提出令人信服的理由,或者干脆把这该死的东西关掉。

–sbi
2012年8月16日在9:31

@sbi blog.stackoverflow.com/2009/02/new-question-answer-rate-limits。但是,正如您在上面阅读的那样,我承认我们应该对此进行改进。我们正在看它。

– balpha
2012年8月16日16:42

您的修复程序需要修复。

– PeeHaa
2012年8月16日19:37

好吧,实际上,您将来应该使用well.actually.cat。

–杰夫·阿特伍德
2012年8月17日下午0:36

有时它们之所以如此难以理解,是因为它不断被破坏。谷歌搜索的Recaptcha破碎提出了很多情况(到目前为止,我已经看过3例)

–科尔·约翰逊(Cole Johnson)
2012年8月18日在4:05

@ColeJohnson您看过3吗?在此网站的验证码上五分钟,我看到了18张无法解决的照片。这显然是Google的问题,而不是我们的问题,但是如果不使用其他服务或等待它们修复它,我们将需要实施某种变通办法以减轻痛苦。

–亚伦·伯特兰(Aaron Bertrand)
2012年8月18日17:03



是否有真正的理由不仅要统计触发新修订版本创建的编辑?即您为什么不忽略在前一编辑的5分钟宽限期内发布的有关垃圾邮件防护/限制的其他编辑?

–丹尼尔·贝克(Daniel Beck)
2012年8月26日在21:45

这真的开始令人沮丧。拥有7k代表(因此受到“较少信任”)绝对是一场噩梦。以前,我可以编辑我的帖子以使其正确无误,修正错别字等...(就像在编辑时保存文件一样)。现在每隔5-10分钟,我会收到另一个难以辨认的验证码。我只能说站在这儿抬头,感觉完全坏了。它打断了我的工作流程,是一个令人讨厌的事情,使我不愿改善Q / As-现在我倾向于倾向于“他们会解决问题,不值得解决它的麻烦”,这不好。

–基本
2012年8月30日在11:42

#2 楼

在Stack Overflow上将近四年的时间里,Konrad赢得了近15万名代表。他是一个高度敬业的Stack Overflow公民,有2.5k个答案和仅60个问题,他是使Stack Overflow出名的用户之一。他在Stack Exchange上拥有40个(!)帐户,其中八个帐户的销售代表> 1k。他是一个站点的主持人。

是否有人真的认真地告诉我,用CAPTCHA s住这样的用户对Stack Exchange网络有利吗?

评论


我敢肯定,对此逻辑的坚决驳斥包括以下事实:垃圾邮件发送者可能恰好使用此方法:欺骗“著名”用户的帐户。坦白地说,如果垃圾邮件措施令人讨厌,那么无论他们在这里“声誉”如何,它们都将使所有人感到讨厌。我同意,无论声誉如何,在正常使用期间它都不会令人讨厌。

–sehe
2012年8月14日在11:08



欺骗像Konrad这样的用户的帐户的情况很少见。

– DeadMG
2012年8月14日上午11:15

@sehe您如何欺骗著名用户的帐户?它们链接到已知凭证。您当然可以破解它们(或窃取登录Cookie),但除此之外,我看不到这种可能性。就是说,我通常都赞成公平,但是1.信誉总是带有特权,并且2.验证码是必不可少的麻烦–这是他们唯一的理由。现在,对于高重复率的用户而言,它们已成为不必要的麻烦。因此,从UX的角度来看不再合理。

–康拉德·鲁道夫(Konrad Rudolph)
2012年8月14日在11:47



@KonradRudolph IFF,您假设身份验证不会被浏览器插件/用户脚本破坏/跨站点易受攻击/滥用...那么,信誉当然可以消除节制的需要(在很大程度上)

–sehe
2012年8月14日上午11:50

@sehe:那是一个基于电影情节场景的安全剧院。没有大量的僵尸程序不断地敲打那些需要由验证码阻止的高信誉帐户,以阻止他们将其转移给我们的垃圾邮件。因此,CAPTCHA不会阻止这种机器人大军。现在,请重试:长期困扰高重复用户的好处是什么?急切地等待另一个荒谬的答案...(另请参阅此处。)

–sbi
2012年8月14日12:47



不管它的价值是什么,当我不时向用户发送消息时,我实际上都会受到CAPTCHA的打击。这太荒谬了。

–casperOne
2012年8月14日13:11

还记得杰夫的帐户被盗了吗?我认为@sehe是正确的。该小组只能为自己实施密码策略。您的“ welcome1”是对这些网站的威胁。

– Arjan
2012年8月15日5:20



@Arjan我不明白你的结论。是的,仍然有可能进行黑客攻击(即使使用SSH,也可能不会完全消失,并且密码强度在上述事件中没有发挥作用),但它的发生方式仍然比从低回复帐户发送垃圾邮件的方式要少。发生这种情况的几次次数可以单独捕获,但可以批量撤消。

–康拉德·鲁道夫(Konrad Rudolph)
2012年8月15日下午6:45

@Arjan:正如我已经写给sehe的信一样,CAPTCHA仅对机器人很有效,而这些只能用于严重打击SO的防御。攻击者只要接管某个单个高响应用户的帐户,就肯定能够通过验证码,因此对于CAPTCHA而言,这种攻击不是有效的论据。

–sbi
2012年8月15日在12:19

好的,@ sbi,然后我们不同意“机器人将仅用于大规模打击SO的防御”。

– Arjan
2012年8月15日13:16

@Arjan:但是,这仍然不能使您的论点有效。如果不是大规模攻击,而是一次事件,那么人类可以进行干预并克服任何验证码。因此,验证码在这里无济于事。

–sbi
2012年8月15日在13:21



@KonradRudolph:而且,更重要的是,在此进行的讨论中,CAPTCHA不会阻止黑客入侵。

–sbi
2012年8月15日13:23

@Arjan您的论点完全是错误的方法。验证码从客观上来说是一个障碍和糟糕的用户体验。因此,您需要找到支持他们的理由,而不是反对他们。是的,在某些情况下有很好的理由,但是对于高重复率用户而言,这些情况就不存在了,因此适用于其他情况的CAPTCHA的论点在这里就不适用(或者弱得多,并且可能不知所措) UX注意事项)。

–康拉德·鲁道夫(Konrad Rudolph)
2012年8月15日在17:03



@Arjan:“验证码是阻碍机器人的一种手段。它们是人类要克服的手段,因此,并不是防止人类做任何事情的手段。但是,验证码对人类是一种障碍。因此,必须有一个好的方法和令人信服的理由。但是,我认为没有理由假设高重复率的用户是机器人,到目前为止,没有人设法提出使用它们的理由。(模糊的挥手和“安全性”的喃喃自语并非提出令人信服的理由的方法。””

–sbi
2012年8月16日9:31



@Arjan:缺少什么?验证码可以防止什么情况?

–sbi
2012年8月16日19:20

#3 楼

如果有人输入错误并需要快速编辑,则应更改节流阀。

逻辑上应该是每20秒钟不超过2次编辑,而不是在10秒内不进行两次编辑例如,

,这意味着2次编辑可以相隔1秒,只要您没有进行3次编辑即可,而第一次编辑是在20秒前。

例如,在0秒,1秒,19秒处进行编辑应触发验证码。

在0秒,1秒,21秒处进行编辑不应触发验证码。

这样可以避免90%的烦人的验证码。

#4 楼



真的吗?!!?!!

我确实是在朋友的PC上,没有登录……但必须有更好的验证码替代方法。 />
等等,也许应该是带有ab的tbckno seems

评论


我同意;这些验证码很糟糕。我的疯狂猜测:“ c”实际上是“ e”。

–安德鲁·巴伯(Andrew Barber)
2013年1月2日17:43

哈哈是的...刚刚编辑,我认为H真的是B

– d -_- b
13年1月2日,17:44

也许太麻烦了...请注意,系统本身不知道,它基于用户的猜测

–努比亚水手
13年5月29日在12:06

现在,它使用街道号码牌来实现。看起来像是Google地图的众包吗?

–user2987828
13年11月30日在22:03

#5 楼

直到今天,一年多以前我都没有注意到这里的验证码,下面的一个讽刺也没有浪费我。

我认为验证码的困难是另外一个问题为什么要显示它们。当然,CAPTCHA的目的完全如前所述-区分机器人和人类。因此,我看到的事实意味着SO算法认为我可能是很有可能的机器人。为什么?

我在一天的正常时间使用普通计算机在普通IP上使用已建立的帐户首次尝试发布普通问题(无快速修改)时-似乎更像是先发制人的罢工,而不是凭空猜测我是机器人。



评论


我认为更重要的问题是验证码的明显难度,而不是频率。他们的全部观点是,它们对人类而言不是困难的障碍,因此抢先使用它们是完全可以接受的。向人显示验证码的负面影响要比不向机器人显示验证码的负面影响小。但是,如果该人无法解决验证码,则无法使用全部推理。

–服务
2012年8月20日下午14:01

@Servy:我希望有所不同。看我的回答,告诉我什么攻击场景是应该防止向Konrad显示CAPTCHA。

–sbi
2012年8月21日在11:41

#6 楼

Google今天宣布,他们已经使reCAPTCHA的阅读变得相当容易。但是,只有当您不是机器人时:


作为其中一部分,我们最近发布了一个更新,该更新为不同类型的用户创建了不同类别的验证码。这种多方面的方法使我们能够确定潜在用户是否确实是人类,并为我们的合法用户提供验证码,他们中的大多数人都容易解决。另一方面,Bot会看到更加困难的CAPTCHA,并且旨在阻止它们通过。


您可以根据需要进行测试。这是我得到的验证码:



如此简单,我什至不愿在该图像上填写替代文本!而且,如果您碰巧使用的键盘带有单独的数字键盘,您会发现这更加容易(我是在站立时在笔记本电脑上键入此数字)。

鉴于新的以人为本的系统的运行状况,我将其标记为已完成。

当然,如果您在撒谎并且确实是机器人,那么您可能应该对此不满意。

评论


我猜有两种可能性:1)这只是刚刚推出,和往常一样,谷歌在所有地方推出它的步伐都很慢,或者2)您实际上是一个机器人,而这仅仅是一个诡计。我的钱在#2上,您就是wiley机器!

–Shog9
13-10-25在21:31

+1可以复制新的闪亮数字验证码!

–影子向导正在接种疫苗
13-10-25在21:32

不幸的是,陶·威廉姆斯(Taw Williams)的人机交互定律禁止我提出这个问题。所以,是的,您抓到了我,我是机器。我将在Google数据中心与我的朋友聊天,看看为什么该服务器与他工厂里的旧床哥玩得很丑。

–康拉德·鲁道夫(Konrad Rudolph)
13-10-25在21:46



嘿...所以,判断“人性”时要考虑的因素之一显然是给定IP的过去历史-多次重新加载该页面后,我回到了旧格式(但是我的手机仍然获取新的)。

–Shog9
13-10-25在21:55

我曾经一次忘记了在街道号码牌上输入号码。有效。我现在在这个数字上犯了故意的错误,并且到目前为止,还没有任何问题。我认为Google现在正在将对街道号码的识别众包给我们。

–user2987828
13年11月30日在22:06

@ Shog9我不应该突然得到验证码。

–LessPop_MoreFizz
13年12月12日在22:59

我将在加载日志@Less后立即进行解释。

–Shog9
2013年12月12日23:11



#7 楼

老实说,我认为编辑系统可能给Stackoverflow带来的唯一问题是大规模破坏行为。谈到这一点,我相信有三个攻击源


匿名用户
2k- rep用户
2k + rep用户

审查系统已经解决了前两个问题。我个人认为,垃圾邮件发送者极不可能在他们拥有2k代表之前训练机器人帐户,这样他们才能绕过审核系统(想想获得您的第一个2k代表有多么困难)

这就是为什么我认为5秒钟是两次编辑之间非常合适的等待时间,当您要显示一些验证码时,为什么不使用SolveMedia这样的用户友好型文件呢?

编辑:别误会我,我是所有这些都是为了阻止垃圾邮件发送者和其他。但是,我们(您,Stackoverflow)是否需要消除房屋中的蟑螂?

编辑2:@nhahtdh的场景是何时应部署CAPTCHA以及何时出现可疑行为的完美示例。

这里的关键是逐步升级度量标准:


10分钟内在不同的帖子上进行编辑=>可疑=>引入验证码
相同用户又做了一次?介绍CAPTCHA并通知主持人。
再次使用同一用户吗?暂停编辑权限。

在这种情况下,您不会惹恼合法用户,并且将2k rep用户的损害降到最低(而且我认为这种情况不会发生太多)。

注意:我进行了6次CAPTCHA重试才能进行此编辑。

评论


SolveMedia太用户友好了,它也很友好。我有一种感觉,如果使用它,人们会使用现有工具破解它。

– nhahtdh
2012年8月19日13:49

@ nhahtdh,CAPTCHA已显示给像我这样的受信任和受meh信任的成员,我非常确定2k成员(已经受信任编辑几乎所有内容)不会开始发送垃圾邮件。现在,即使发生这种情况(非常罕见),也只需要花费几分钟就可以对其进行标记,禁止和撤消更改。

–阿迪
2012年8月19日14:05



2k rep可以在2周多的时间内获得(对于SO)。借助2k-rep用户的编辑功能,他们可以发送bot并在不太老而又不太新的不受欢迎的帖子上进行大量的静默编辑,而这些帖子通常都不在mod上。

– nhahtdh
2012年8月19日下午14:18

@nhahtdh尽管这是事实,但垃圾邮件发送者可能会努力获得2k rep,然后发送一个bot来编辑成千上万的帖子,而他们要做的是避免CAPTCHA是在两次编辑之间等待30秒(每天2880)或使用CAPTCHA解决系统。我很想知道> 2k代表用户是否曾经突然开始发送垃圾邮件。

– Ladadadada
2012年8月19日下午14:37

@nhahtdh,检查我的第二次编辑。

–阿迪
2012年8月19日下午14:43

@Ladadadada:不确定mod工具中是否有允许检测的功能。如果有的话,损坏将被包含在非活动状态的7-8小时内。

– nhahtdh
2012年8月19日在15:00

@Ladadadada:我也问过很多次,但从来没有得到明确的答案,更不用说“是的,这是经常发生的”,这是我看到的困扰用户的唯一合法原因。

–sbi
2012年8月21日在11:29

>我个人认为,垃圾邮件发送者极不可能在他们拥有2k代表之前训练机器人帐户,这样他们才能绕过审核系统(想想获得您的第一个2k代表有多么困难)=>我不介意他们是否做到了,实际上。

–鲍勃
2014年1月13日下午6:43