Бот обошел защиту регистрации

Сегодня на сайте saxap.tv таки удалась регистрация боту. Его потом забанило, но все-таки прецедент есть.

77.40.97.113 — - [22/Feb/2013:16:16:35 +0400] "GET /includes/codegen/cms_codegen.php HTTP/1.1" 200 3051 "saxap.tv/registration" "Mozilla/5.0 (Windows NT 6.1; rv:18.0) Gecko/20100101 Firefox/18.0"
77.40.97.113 — - [22/Feb/2013:16:17:18 +0400] "POST /registration/add HTTP/1.1" 303 — "saxap.tv/registration" "Mozilla/5.0 (Windows NT 6.1; rv:18.0) Gecko/20100101 Firefox/18.0"

Я сам дизайнер и понятия не имею что там и как, но напрягло.

Кто подскажет как он это сделал?
Если потребуется, то могу предоставить полный лог.

Кто подскажет как он это сделал?

Я так понимаю у вас отключено подтверждение по e-mail?

Я так понимаю у вас отключено подтверждение по e-mail?

Да, в этом проблема?

Да, в этом проблема?

для сегодняшних возможностей даже это не проблема)
но подтверждение желательно!
чем сложнее процедура тем дороже обойдется регистрация)

для сегодняшних возможностей даже это не проблема)

Я понимаю, что сломать можно всё, и цена взлома должна быть меньше чем стоимость полученного, но хотелось бы быть уверенным, что регистрация это максимум, чтобы без взлома админа…

Взлом и полуавтоматическая регистрация, это совсем разные вещи! как и разные подходы к уменьшению вероятностей!)
Регистрация — это стандартная процедура которая заложена в функциях движка!
а вот стандартными функциями взломать админа нельзя — так как функции эти не заложены в функционале)
Совсем разные подходы и методы защиты!

Иными словами — регистрация бота это нормально — так как функции движка позволяют пройти регистрацию!
Если бы регистрация была отключена — то другой вопрос)

От ботов никуда не деться — спамеры любят нас))

ps: для усложнения можно ввести подтверждение по номеру мобильного телефона...
pss: но для начала, хотя бы включить подтверждение по почте!)

ps: для усложнения можно ввести подтверждение по номеру мобильного телефона...
pss: но для начала, хотя бы включить подтверждение по почте!)

Есть вариант Позвони админу и спроси код активации)))

Антикапча — минутное дело на самом деле.

Попробуйте SimplaCaptcha.

Красиво, удобно для юзера, но "сломано" еще году в 2008 (если не ошибаюсь)...
P.S. хотел найти статью на habrahabr.ru на эту тему (описан был подробный способ обхода), но что-то не смог..
Тут дело простое: кто-то "защищается" — кто-то "нападает"… Не найти универсального средства "навсегда", даже если защита "самописная", но Ваш сайт представляет определенный интерес — обойдут со временем… и придется искать новую…

Не найти универсального средства "навсегда"

Подумываю админку на htaccess закрыть =))

Подумываю админку на htaccess закрыть =))

Хороший способ!
Можно еще на папку admin пароль поставить, как здесь

Сегодня на сайте saxap.tv таки удалась регистрация боту. Его потом забанило, но все-таки прецедент есть.

Интересно где из лога видно что это бот? ну Россия, ну пул, так и что? Может я чего то не понял, но причем тут админка?