Посмотрите видео ниже, чтобы узнать, как установить наш сайт в виде веб-приложения на главном экране.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
XF Bot Guard 1.4.0 расширяет возможности создания отчетов Light-DB, повышает производительность больших необработанных журналов событий, предотвращает дублирование фонового обслуживания, усиливает безопасность исходящего HTTP и внедряет широкий спектр оптимизаций времени выполнения и архитектуры.
Аналитика давления в стране для режима Light-DB
Теперь на панели управления можно отображать приблизительные показатели давления со стороны стран, пока активен режим работы Light-DB. Это позволяет увидеть, какие страны генерируют сеансы, которые потребовали жесткого вмешательства, зашли в тупик из-за проверки браузера или, в режиме только наблюдения, были бы заблокированы или отклонены. Эти показатели основаны на сеансах и представляют собой усредненные почасовые данные, хранящиеся в кэше приложения XenForo, а не в необработанных строках публичных запросов. Это позволяет пользователям Light-DB сохранять полезную информацию о злоупотреблениях с географической привязкой, не отказываясь от преимуществ режима Light-DB, связанных с сокращением операций записи в базу данных. Дополнительная опция не требуется: она включается автоматически, когда активен режим работы Light-DB, и отображается на существующей панели Dashboard Country Pressure по мере создания новых ежечасных снимков.
Более безопасное фоновое обслуживание и более продуманные повторные попытки использования MMDB
Все записи в cron XF Bot Guard теперь используют устойчивые блокировки выполнения, чтобы предотвратить одновременное выполнение одной и той же запланированной задачи более одного раза. Если предыдущий запуск все еще активен, перекрывающий его запуск безопасно завершается и планирует повторную попытку в ближайшее время, вместо того чтобы конкурировать за ресурсы базы данных, процессора, сети или файловой системы. Такая же защита была добавлена для задач обслуживания, запускаемых при возникновении проблем со здоровьем, что снижает риск одновременного выполнения одной и той же работы cron, заданиями в очереди и ручными исправлениями. Эта защита активируется автоматически после обновления.
Обновления IPLocate/MMDB также более эффективно обрабатывают прерванные загрузки или загрузки с ограничением по времени. Частичный прогресс теперь фиксируется и временно приостанавливается перед следующей попыткой, начиная с пяти минут и увеличивая время до одного часа, если повторные попытки не приводят к прогрессу. Существующие частично загруженные файлы по-прежнему можно возобновить, но короткий цикл cron больше не будет постоянно нагружать конечную точку распространения или сервер форума, если большая загрузка не может быть завершена в течение доступного времени.
Более быстрая навигация по журналу необработанных событий
В административном журнале необработанных событий теперь используется навигация на основе курсора, а не нумерация страниц, основанная на количестве строк в базе данных и все более затратных смещениях в SQL. Администраторы могут переключаться между Новыми событиями, Самыми новыми событиями и Старыми событиями, сохраняя текущие фильтры. Это обеспечивает быструю и предсказуемую навигацию даже при большом объеме таблицы событий, а также позволяет избежать отдельного подсчета всех совпадающих строк при каждом открытии журнала. Это улучшение происходит автоматически и не затрагивает экспорт в формате CSV, фильтрацию событий или сведения об отдельных событиях.
Усиленная защита исходящих запросов с фиксированным пунктом назначения
Исходящие запросы, предназначенные для конкретной службы, теперь более строго направляются по назначению. Запросы к API Cloudflare больше не следуют HTTP-перенаправлениям, а резервный сервер api64.ipify.org, используемый для определения публичного IP-адреса сервера форума, теперь также отклоняет перенаправления. Это предотвращает ситуацию, когда доверенная конечная точка без предупреждения отправляет Bot Guard — и, возможно, его заголовки запросов — по неожиданному адресу. Никаких изменений в конфигурации не требуется.
Повышение эффективности работы и улучшение внутренней архитектуры
Ряд общедоступных и административных путей теперь используют зависимости на уровне запроса вместо того, чтобы многократно создавать одни и те же средства чтения параметров, средства проверки краулеров, сервисы Edge Enforcement, сервисы среды выполнения Light-DB, вспомогательные средства для режима конфиденциальности и сервисы сбора данных. Проверка прав на онлайн-активность и совместимость с Known Bots также была централизована, чтобы одни и те же решения и состояние параметров можно было использовать на протяжении всего запроса. Эти изменения сокращают дублирование работы, отток объектов и случайные нагрузки на процессор и память, особенно при оценке запросов, сборе данных для проверки браузеров, телеметрии Light-DB и корректировке онлайн-подсчетов.
Некоторые из крупнейших внутренних компонентов Bot Guard также были разделены на более мелкие специализированные сервисы. Для создания снимков Dashboard теперь используются специальные сборщики метрик, для составления отчетов Dashboard — специальные модели чтения, для принятия решений о блокировке — отдельные компоненты оценки рисков и поддержки принятия решений, а также были консолидированы общая блокировка, метаданные схемы, проверка SQL и логика фильтрации журнала событий. В инструменте выпуска релизов также появились более строгие проверки контрактов на уровне схемы и запросов, средства проверки «мертвого» кода и проверки чистоты пакетов. Эти изменения не добавляют новых настроек, но сокращают дублирование кода и поведенческие отклонения, упрощают изоляцию сбоев и создают более надежную основу для будущих улучшений Dashboard, защиты и производительности.
Идентификация форума в исходящих запросах Bot Guard
Исходящий User-Agent трафик Bot Guard теперь может включать в себя настроенный URL форума, например (forum: https://example.com/community). Это позволяет операторам внешних сервисов определять, какая именно установка форума отправляет запрос, отличать легитимный трафик Bot Guard от нежелательного и проще выявлять нарушения ограничений скорости, неожиданный трафик или проблемы с поддержкой. Включается только URL форума, прошедший безопасную проверку: URL, содержащие учетные данные, строки запроса, фрагменты, управляющие символы или другое небезопасное форматирование, не используются, и Bot Guard возвращается к прежнему универсальному User-Agent. При этом не передаются IP-адреса посетителей, пользовательские агенты, файлы cookie, сигналы браузера, контент форума или необработанные данные о событиях. Отдельная настройка не требуется; убедитесь, что URL-адрес форума XenForo настроен правильно.
XF Bot Guard 1.3.9 фокусируется на улучшении видимости администратора, более чистой оперативной диагностике, более аккуратных аналитических данных и снижении внутренних накладных расходов по ряду горячих путей. Для существующих клиентов не требуется выполнять какие-либо действия по обновлению.
Обзор панели управления на главной странице ACP
Теперь администраторы могут просматривать обзор панели управления XF Bot Guard прямо на главной странице XenForo ACP. Это позволяет быстро получить представление об активности Bot Guard за последние 24 часа без необходимости открывать полную панель управления, на которой отображаются основные обзорные карточки, распределение результатов, динамика давления и информация о давлении со стороны отдельных стран, если поддерживается режим активной отчетности. Это важно, поскольку статус Bot Guard теперь виден сразу после входа администратора в ACP, поэтому сложно не заметить необычное давление со стороны ботов или активность по их защите. Эта функция включена по умолчанию для администраторов с разрешением «Просмотр XF Bot Guard». Вы можете отключить его в настройках XF Bot Guard, выключив Показывать обзор панели управления на главной странице ACP.
Диагностика работоспособности при обнаружении сбоев в работе материалов
На странице проверки работоспособности теперь отображается диагностика с использованием кэша для обнаруженных сбоев. Если доступен кэш приложения XenForo, Bot Guard записывает наиболее часто встречающиеся пути обнаружения сбоев и отображает их в разделе проверки работоспособности, включая количество, время последнего просмотра, область функции, цель диагностики, место обнаружения сбоя, класс исключения и отредактированные сведения о диагностике. Это важно, поскольку некоторые сбои намеренно игнорируются, чтобы сайт мог безопасно продолжать работу, но они не должны оставаться незамеченными, если указывают на реальную проблему в работе. Отдельной опции для включения этой функции нет. Чтобы просмотреть его, откройте страницу проверки работоспособности XF Bot Guard. Для просмотра полных сообщений и трассировки стека требуется конфиденциальное разрешение администратора Bot Guard. Эти средства диагностики не входят в пакет поддержки.
Очистка данных Google Analytics на маршрутах проверки Bot Guard
Публичные маршруты, принадлежащие Bot Guard, теперь не используют встроенный в XenForo шаблон Google Analytics. Это касается рабочих страниц Bot Guard, таких как страницы с вызовами, сборами, решениями и отчетами о посетителях, в то время как обычные страницы форума продолжают использовать существующую конфигурацию аналитики XenForo. Это важно, поскольку трафик, связанный с проверкой Bot Guard, не является обычным трафиком контента, и его попадание в аналитику может привести к искажению отчетов о действиях ботов, вызовах или проверках. Настраивать ничего не нужно: это применяется автоматически только к публичным маршрутам, принадлежащим Bot Guard.
Уменьшение накладных расходов за счет редактирования и контекстной выборки
В этом выпуске снижена ненужная нагрузка на центральный процессор в двух наиболее загруженных внутренних областях. При редактировании массива конфиденциальных диагностических данных теперь повторно используются ключи и проверки заголовков для каждого вызова, а не выполняется многократный пересчет одних и тех же решений для вложенных диагностических структур. Также была оптимизирована контекстная выборка канареечных ссылок: теперь выбирается только ограниченное количество необходимых ссылок-кандидатов, а не весь список кандидатов. Это особенно важно для больших страниц, больших диагностических данных и сайтов с высокой посещаемостью, где небольшие повторяющиеся затраты суммируются. Никаких дополнительных настроек не требуется, улучшения применяются автоматически.
Общие улучшения в работе процессора, памяти и рефакторинге
Более масштабная очистка удаляет неиспользуемые внутренние методы, устаревшие вспомогательные функции и избыточное состояние, которое больше не нужно. Например, мы перенесли общую подготовку дашборда в специальную службу данных для представления дашборда, сократили агрегацию данных для домашнего обзора ACP, чтобы он запрашивал только те данные, которые нужны для обзора, удалили неиспользуемые вспомогательные функции для обеспечения совместимости и обрезали неиспользуемые внутренние пути в службах обслуживания, проверки, cron, Light Response и репозиториях.
Практическая польза заключается в том, что кодовая база становится чище и проще в обслуживании, а в средах выполнения и администрирования требуется меньше ненужной работы. Это не меняет подход клиентов к настройке Bot Guard, но должно снизить вероятность будущих регрессий, поскольку пути прохождения кода становятся проще, более целенаправленными и удобными для тестирования.
Рекомендательный анализ «мертвого» кода и наборы тестов производительности
Цепочка инструментов для разработки теперь включает в себя рекомендательный анализ «мертвого» кода и наборы тестов производительности PHPBench. Они охватывают широкий спектр внутренних компонентов Bot Guard, включая агрегацию данных на дашборде, сканирование HTML-кода ответа, контекстные канарейки, хронологию ссылок, поиск упакованных IP-адресов, буферизацию сведений о событиях, планирование в Cloudflare, парсинг аутентификации веб-ботов, оценку рисков и сокрытие конфиденциальных диагностических данных. Это важно, потому что будущие оптимизации и улучшения можно будет проверять с помощью повторяющихся инструментов для анализа производительности и использования, а не полагаться только на ручной контроль.
Эти инструменты предназначены для разработки и проверки релизов, а не для функций ACP, доступных клиентам. Клиентам не нужно ничего включать или запускать.
Важно: В этом обновлении исправлена проблема с заданиями, связанными с MMDB. Если вы отключили эти функции, пожалуйста, убедитесь, что после обновления они снова включены.
XF Bot Guard 1.3.8 — это обновление, направленное на повышение надежности, конфиденциальности, улучшение панели управления и производительности. Главное улучшение — более безопасная фоновая работа: Bot Guard теперь выполняет больше задач по обслуживанию небольшими возобновляемыми порциями, а также лучше отслеживает состояние системы, когда работа cron отсутствует, задерживается или неправильно настроена. В этом выпуске также добавлен новый режим защиты с гарантией конфиденциальности, улучшена работа панели управления Light-DB, снижена нагрузка на поисковый механизм при известных проблемах, обновлена резервная бета-версия аутентификации веб-ботов, а также проведена масштабная оптимизация и рефакторинг в областях, связанных с процессором, памятью, базой данных и кэшем.
Более безопасное фоновое обслуживание с возможностью возобновления
Работа Bot Guard, запускаемая по расписанию, теперь учитывает бюджет, может быть возобновлена и отслеживается на предмет работоспособности. Вместо того чтобы предполагать, что длительная задача будет выполнена за один запуск, Bot Guard теперь работает в рамках эффективного бюджета времени выполнения PHP/XenForo, останавливается до того, как сервер завершит процесс, и возобновляет работу с сохраненного места при следующем запуске. Это касается очистки, создания снимков дашбордов, обновления известных краулеров, обновления ASN/CIDR, обслуживания MMDB и геоиндекса, синхронизации с Cloudflare, очистки сведений о событиях и решения онлайн-задач. Для клиентов это означает сокращение времени ожидания cron, уменьшение количества незавершенных сеансов обслуживания, а также более стабильную работу на виртуальном хостинге или при более жестких ограничениях на выполнение PHP. Включать ничего не нужно: продолжайте использовать XenForo cron в обычном режиме и используйте проверку работоспособности Bot Guard, чтобы убедиться, что все записи Bot Guard cron присутствуют, активны, правильно настроены, не задерживаются и запланированы корректно.
Режим защиты с сохранением конфиденциальности
Новый режим защиты с соблюдением конфиденциальности позволяет сайтам, чувствительным к вопросам конфиденциальности, использовать меньше места для хранения данных, сохраняя при этом способность Bot Guard защищать важный трафик. При включенном режиме обычные просмотры страниц не приводят к пассивному предварительному запуску браузера для сбора доказательств и не записывают обычный маркер сбора данных браузером. Bot Guard по-прежнему выполняет полный сбор доказательств, когда это действительно необходимо, например при начальной проверке, принудительном повторном сборе данных или защищенной проверке без сбора доказательств. При включенном режиме срок действия файлов cookie для сбора доказательств также сокращается. Вы можете включить это в области быстрых настроек Bot Guard / рекомендуемых настроек или в основных настройках Bot Guard. Это полезно для сайтов, желающих обеспечить безопасность, более совместимую с GDPR, особенно в сочетании с режимом выполнения Light-DB, но само по себе это не является гарантией соблюдения законодательства. Поскольку подтверждение собирается чаще по запросу, некоторые пользователи могут видеть подтверждение при первом защищенном действии чаще, чем в обычном режиме предварительного прогрева.
Более чистый свет -отчеты панели мониторинга DB
Панель управления теперь более точно определяет режим работы Light-DB. Когда Light-DB активна, Bot Guard скрывает панели с необработанными данными и сессионными данными, которые не могут быть отображены без полной необработанной общедоступной телеметрии, вместо того чтобы показывать пустые, вводящие в заблуждение или неполные разделы панели управления. Кроме того, добавлено больше сводных отчетов, удобных для работы с Light-DB, в том числе о результатах проверки и принятия решений, приблизительном соотношении успешных и неуспешных попыток, выборках рисков, группах причин, активности в отношении CAPTCHA, предполагаемом количестве доверенных сессий и, где это возможно, соотношении успешных и неуспешных попыток. Чтобы воспользоваться этой функцией, включите режим выполнения Light-DB, как обычно. Теперь панель управления адаптируется автоматически. Стандартное поведение панели управления с поддержкой базы данных остается доступным, если Light-DB не активна.
Более быстрая проверка известных диапазонов сканирования
Для проверки известных поисковых роботов теперь можно использовать компактный каталог кэша приложений XenForo для диапазонов IP-адресов поисковых роботов. На практике Bot Guard часто может проверять совпадения с известными диапазонами поисковых роботов, не прибегая к более ресурсоемким поискам в базе данных или записи в кэш по IP-адресам. Это особенно полезно для популярных общедоступных сайтов, на которые часто заходят поисковые роботы Googlebot, Bingbot, AI crawler и другие известные поисковые роботы. Если компактный кэш недоступен, устарел, поврежден или не соответствует требованиям, Bot Guard безопасно возвращается к обычному поиску диапазонов с использованием базы данных. Отдельного переключателя функций нет, он используется автоматически, если доступен кэш приложения XenForo и процесс обновления известного поискового робота прошел успешно.
Обновленная бета-версия резервного варианта аутентификации веб-бота
Резервный вариант бета-версии Web Bot Auth был обновлен в соответствии с новым проектом IETF, касающимся подписанных заголовков идентификаторов ботов. Средство проверки теперь обрабатывает новую структуру элементов в стиле каталога Signature-Agent, связывает покрытие Signature-Input с правильным элементом Signature-Agent, строже отклоняет неподдерживаемые типы обнаружения и улучшает работу встроенных профилей ботов при разрешении настроенных каталогов ключей. Это касается только резервного варианта бета-версии Web Bot Auth; обычные проверки проверенных ботов, такие как проверка диапазона IP-адресов, обратного DNS и известных источников, по-прежнему выполняются в первую очередь. Чтобы использовать его, включите бета-версию резервной опции Web Bot Auth. Сайты, использующие пользовательские шаблоны Signature-Agent, должны убедиться, что они соответствуют доверенным идентификаторам HTTPS-каталогов.
Более эффективная обработка состояния хронологии ссылок
Хэш-суммирование целевых объектов Link Chronology было оптимизировано таким образом, что повторяющиеся целевые объекты защищенных ссылок дедуплицируются и сохраняются на специальном уровне состояния. Это позволяет снизить нагрузку на страницы с большим количеством ссылок при проверке хронологии, уменьшить повторяющиеся данные состояния и избежать ненужного раздувания кэша/сессии, сохраняя при этом тот же уровень защиты. Настраивать ничего не нужно: если Link Chronology включена, улучшенная обработка применяется автоматически.
Улучшения в работе процессора, памяти, базы данных и качества кода
Этот релиз также включает в себя масштабную оптимизацию и рефакторинг внутренних компонентов Bot Guard. Несколько дублирующих друг друга путей выполнения запросов, фильтрации, принятия решений, работы с дашбордами и управления состоянием были объединены в специализированные сервисы. Среди примеров — более чистая фильтрация журнала событий, многоцелевая обработка запросов к пограничным IP-адресам, централизованная обработка результатов принятия решений по вызовам, специализированная обработка контекстного состояния Canary, улучшенное хранилище Link Chronology, более четкие границы режимов работы с дашбордами и более общая логика агрегации для снимков дашбордов. Эти изменения сокращают избыточность кода и делают его более безопасным для дальнейшего обслуживания, а также снижают нагрузку на процессор и память в загруженных участках кода.
Кроме того, за кулисами происходят практические улучшения отказоустойчивости. При выполнении крупных операций по обслуживанию работа распределяется более тщательно, данные из кэша проверяются перед использованием, некорректные компактные каталоги признаются недействительными, а не доверенными, частичные буферы событий могут возобновлять работу, а не обрабатываться заново с нуля, а моментальные снимки дашбордов позволяют избежать смешения несовместимых режимов отчетности. Клиентам не нужно включать эти оптимизации по отдельности — они являются частью обновления до версии 1.3.8 и призваны сделать Bot Guard более тихим, быстрым и предсказуемым при нагрузке.
Тип обновления: небольшое
XF Bot Guard 1.3.7 — это обновление, направленное на повышение производительности и отказоустойчивости. Это снижает нагрузку на базу данных при защищенных запросах, повышает устойчивость к атакам ботов, ускоряет геопоиск за счет компактных кэшированных геоданных, повышает удобство использования панели управления в режиме Light-DB, добавляет мягкие исключения стран и очищает зашумленные быстрые настройки и результаты проверки работоспособности.
Повышение устойчивости к атакам ботов
Быстрая настройка «Атака ботов» теперь также включает в себя настройки Origin Survival по умолчанию. Когда ваш сервер подвергается атакам, Bot Guard может отсеивать обычный неизвестный трафик с помощью простого ответа 503 + Retry-After до того, как дорогостоящий рендеринг страницы, рендеринг с использованием Challenge, работа с PHP или базой данных усугубят проблему.
Это важно во время реальных бот-атак, потому что иногда самый безопасный ответ — это не «показать больше запросов», а «защитить источник до тех пор, пока давление не спадёт». Используйте эту функцию в разделе «Администрирование» → «Защита от ботов» → «Быстрые настройки» → «Активная бот-атака» или настройте Origin Survival напрямую. Вас попросят подтвердить, что реальные неизвестные посетители могут временно получать ответ 503, пока активна защита от давления.
Меньшее использование базы данных при защищенных запросах
Режим Light-DB теперь работает более корректно на общедоступном пути запросов. Bot Guard больше не выполняет публичное чтение телеметрических данных из таблиц посетителей, IP-адресов и сессий Light-DB при формировании данных о рисках. Это позволяет использовать режим Light-DB по назначению: не допускать большого количества трафика от ботов в растущие таблицы телеметрии.
Обычный режим работы с базой данных также имеет свои преимущества. При поиске данных о рисках теперь выбираются только те столбцы посетителей, IP-адресов и сессий, которые необходимы для оценки, а не полные строки. Это снижает количество операций ввода-вывода в базе данных и использование памяти на загруженных форумах. Режим Light-DB можно включить в разделе «Параметры» → «XF Bot Guard» → «Режим выполнения Light-DB» или в быстрых настройках. После обновления более узкое чтение базы данных применяется автоматически.
Более быстрый локальный геопоиск с использованием компактных страниц геокэша
Bot Guard теперь создает компактный индекс стран/ASN на основе активных баз данных IPLocate и может предварительно загружать страницы ограниченного геоиндекса в кэш приложения XenForo. При поиске по стране и ASN эти компактные кэшированные страницы используются вместо того, чтобы постоянно выполнять более ресурсоемкую работу с MMDB.
Это повышает производительность при защите с учетом страны, обработке поисковых роботов, составлении отчетов, исключениях и борьбе с ботами, когда многие запросы требуют геопроверки. Компактный индекс проверяется перед использованием, и в случае его отсутствия, устаревания или недоступности используется обычный MMDB-ридер. Поддерживайте работоспособность локальных баз данных IPLocate и кэша приложений XenForo. Новый cron-скрипт для прогрева кэша геоиндексов автоматически выполняет сборку, восстановление и прогрев.
Более широкая оптимизация процессора и памяти на «горячих» участках.
В версии 1.3.7 многое сделано для повышения производительности. Bot Guard теперь повторно использует вычисленные факты защиты в рамках одного запроса, распределяет решения о разрешении доступа для поисковых роботов, кэширует итоговый контекст запроса и избегает повторных проверок политик, маршрутов, поисковых роботов и стран на разных уровнях защиты. Это сокращает объем дублирующейся работы, когда одновременно активны несколько функций.
Также была улучшена обработка HTML. Link Chronology и Contextual Canaries теперь могут совместно анализировать HTML-код ответа, а не сканировать его независимо и создавать большие промежуточные структуры. При сканировании анкоров и форм используются более легкие внутренние структуры, а выбранные цели для канареек могут быть подготовлены во время совместного сканирования. Также были оптимизированы пути обслуживания и очистки, в том числе за счет ограничения объема работы по очистке и более избирательных шаблонов запросов. Ничего не нужно включать: эти оптимизации применяются автоматически и должны быть наиболее заметны на загруженных форумах, страницах с большим объемом кэша, при работе с большими наборами данных телеметрии и при активном боте.
Более полезные снимки с Дашборда в режиме Light-DB
Если активен режим работы Light-DB и доступен кэш приложений XenForo, снимки с Дашборда теперь могут включать приблизительные почасовые итоги публичных событий на основе телеметрии из кэша Light-DB. Это позволяет пользователям Light-DB отслеживать более полезные тенденции активности, не возвращаясь к необработанной публичной телеметрии, которая записывается в «горячий» путь базы данных.
Это улучшает работу панелей с большим объемом данных, таких как счетчики активности, проверка браузера, CAPTCHA, данные о поисковых роботах, пропусках и легковесных ответах. Панели, которым нужны стабильные необработанные данные, по-прежнему ограничены данными моментальных снимков, хранящимися в базе данных. Чтобы использовать эту функцию, включите режим Light-DB с исправным кэшем приложения XenForo и разрешите обычному cron-заданию Dashboard создавать моментальные снимки.
Мягкие исключения по странам
Новая опция «Мягкие исключения по странам» позволяет выбирать страны, в которых обычные посетители не должны подвергаться принудительной обработке Bot Guard. После применения высокоприоритетных исключений, правил принудительного вызова и проверок доверенных поисковых роботов соответствующие посетители не подвергаются вызовам, отказам, легким ответам, не попадают в отчеты, составленные вручную, и не оснащаются контекстными канарейками.
Это полезно, если вы хотите, чтобы Bot Guard оставался активным по всему миру, но при этом не применял агрессивные меры в отношении пользователей из определенных стран. Настройте эту функцию в разделе «Параметры» → «XF Bot Guard» → «Страны с мягким исключением». Функция сопоставляет только известные/разрешенные страны на основе данных о доверенных прокси-странах или локального поиска IP-адресов. Неизвестные или неразрешенные страны не сопоставляются, и Origin Survival не использует это исключение.
Более Чистые результаты проверки работоспособности
Устранена проблема с серьезностью Health Check, из-за которой ожидаемые состояния рассматривались как предупреждения. Режим Active Light-DB, отключение малозначимых журналов, буферизованная запись сведений о событиях, текущее состояние давления со стороны источника, отключение дополнительных функций поискового робота/rDNS, обновление данных в Dashboard, еще не запущенные проверки кэша и обычные ожидающие обработки файлы сведений больше не должны создавать ненужный шум.
Предупреждения теперь касаются только тех проблем, которые с большей вероятностью потребуют принятия мер, например устаревших или зависших снимков, старых ожидающих обработки файлов, неработающих включенных функций, проблем с компактным геоиндексом или конфигураций, которые могут существенно снизить уровень защиты. Ничего не нужно включать. После обновления откройте «Проверка работоспособности», и список действий должен стать более понятным.
Более простой предварительный просмотр быстрых настроек
Предварительный просмотр быстрых настроек стал короче, и с ним проще работать. Предварительный просмотр фокусируется на настройках, которые действительно изменятся, а также на блокирующих элементах и подтверждениях, которые необходимо выполнить перед применением пресета.
Убраны старая таблица «не тронуто», информационный шум и строки предварительного просмотра «будет исправлено». Режим «только наблюдение» теперь более четко отделен от дополнительных наложений, что упрощает понимание экрана быстрых настроек. Используйте его так же: Admin CP → XF Bot Guard → Быстрые настройки, выберите предустановку, просмотрите фактические изменения, затем примените.
Важные примечания по обновлению для существующих клиентов:
Для режима работы Light-DB сначала необходимо настроить кэш приложений XenForo. Если вы не включаете режим Light-DB, никаких дополнительных действий не требуется. Чтобы использовать режим Light-DB, сначала настройте кэш XenForo: документация по кэшу XenForo.
Тип выпуска: основной
XF Bot Guard 1.3.6 — это основной выпуск, в котором улучшена производительность и масштабируемость, а также представлен новый дополнительный режим выполнения Light-DB наряду с масштабными улучшениями в области процессора, памяти, совместимости и надежности администрирования.
Режим выполнения Light-DB
В этом выпуске добавлен дополнительный режим работы Light-DB для сайтов, которым нужна обычная защита публичных запросов Bot Guard, но при этом требуется гораздо меньше ресурсов базы данных. При включенном режиме XF Bot Guard продолжает работать в обычном режиме защиты, но перемещает счетчики недолговечных публичных запросов и телеметрию среды выполнения в кэш приложения XenForo вместо того, чтобы записывать в базу данных самые быстрорастущие строки публичной телеметрии. Это особенно важно на загруженных форумах или во время атак ботов, когда регистрация запросов и запись счетчиков могут стать существенной частью нагрузки на сервер. Чтобы использовать его, сначала настройте кэш приложений XenForo, затем включите режим работы Light-DB в параметрах XF Bot Guard или на обратимой карточке «Быстрые настройки». На странице «Состояние» будет отображаться информация о том, активен ли режим, прошла ли проверка готовности кэша и доступна ли последняя телеметрия Light-DB.
Снижение нагрузки на процессор и память
XF Bot Guard теперь выполняет меньше повторяющихся операций на пути запроса. Операции чтения и записи счетчиков объединены в пакеты, решения по запросам и политикам более эффективно кэшируются для текущего запроса, геопоиск откладывается до тех пор, пока он не понадобится, а общий анализ HTML-ответов по возможности используется такими функциями, как хронология ссылок и контекстные канареечные тесты. Эти изменения полезны как для обычного режима с поддержкой базы данных, так и для режима Light-DB. Ничего включать не нужно: оптимизации применяются автоматически после обновления.
Улучшенная обработка предварительной загрузки и предварительного рендеринга
Запросы на предварительную загрузку и предварительный рендеринг документов в браузере теперь рассматриваются как спекулятивный неинтерактивный трафик. XF Bot Guard по-прежнему может защищать контент, но при этом не пытается перенаправлять эти фоновые запросы, инициированные браузером, через интерактивную проверку или поток CAPTCHA. Это лучше соответствует поведению современных браузеров и новой системе обработки запросов на предварительную загрузку и предварительный рендеринг в XenForo, а также позволяет не тратить ресурсы на проверку запросов, которые посетитель не открывал. Это поведение является автоматическим и не требует новой настройки.
Загрузка более совместимого устройства MMDB Reader
Поиск страны по локальному IP-адресу и ASN теперь безопасно обрабатывает больше сценариев загрузки MaxMind/MMDB. XF Bot Guard может использовать встроенный считыватель, совместимое официальное PHP-расширение maxminddb или уже загруженный совместимый PHP-считыватель, прошедший локальную проверку. Это помогает избежать проблем с локальным геопоиском на хостах, где классы считывателя MaxMind уже загружены PHP, Composer, расширениями или другими надстройками. Настраивать ничего не нужно. После обновления проверьте работоспособность/статус, если хотите убедиться, что считыватель локальной базы данных IP и файлы MMDB доступны.
Восстановление навигации в админке
Теперь в процессе установки XenForo явно перестраивается кэш навигации в админке после того, как XF Bot Guard восстанавливает или удаляет записи навигации в админке. Это устраняет проблемы, связанные с тем, что ссылки Bot Guard в админке могут отсутствовать, быть устаревшими или не обновляться должным образом после установки, обновления, восстановления или удаления. Никаких действий вручную не требуется: восстановление выполняется в рамках обычной процедуры установки дополнения.
Локальные базы данных IP-адресов и ASN, управляемые во время выполнения
XF Bot Guard теперь управляет локальными базами данных IPLocate по странам и ASN в качестве загружаемых ресурсов среды выполнения, а не в виде файлов пакета. Надстройка может обновлять эти базы данных с помощью cron-задачи обновления MMDB, хранить их во внутренних данных XenForo, проверять загруженные файлы перед использованием и продолжать использовать предыдущие проверенные файлы в случае сбоя обновления. Это обеспечивает конфиденциальность и быстроту локальных геопоиска и поиска ASN, а также делает обновление баз данных более безопасным и простым в обслуживании. Существующим клиентам не нужно ничего делать вручную: если возникнут проблемы с сервером или исходящим подключением, об этом сообщит проверка работоспособности баз данных по странам/ASN с локальными IP-адресами.
Более надежная выборка на DNS-серверах с двумя стеками
Исходящие HTTPS-запросы к источникам теперь защищены на серверах, где имя хоста разрешается как в IPv4, так и в IPv6. XF Bot Guard может отдавать предпочтение закрепленному общедоступному IPv4-адресу, если он доступен, что позволяет избежать сбоев на серверах, где разрешение DNS в IPv6 работает, а исходящее подключение по протоколу IPv6 — нет. Это повышает надежность обновления исходных данных для поисковых роботов, настроенных источников CIDR JSON, загрузки ресурсов MMDB и других защищенных путей получения данных. Включать ничего не нужно, эта функция работает автоматически.
Уборка и внутренняя отделка
В этом выпуске мы провели общее техническое обслуживание, поработали над упаковкой, вспомогательными инструментами для настройки, проверками работоспособности, обработкой зашифрованных секретных данных, организацией кода для метрик на панели управления и автоматизированным тестированием. Это не самые заметные изменения, но они важны: они помогают сделать обновления более безопасными, снижают риск возникновения регрессий и упрощают поддержку дополнения в долгосрочной перспективе. Никаких действий со стороны пользователей не требуется.
Ресурсы изображений документации меньшего размера
Связанные изображения с документацией были сжаты, чтобы уменьшить ненужный вес пакета. Это не влияет на работу Bot Guard, но позволяет уменьшить размер пакета релиза и локальных ресурсов с документацией. Ничего не нужно включать или настраивать.
Дополнительная резервная функция проверки подписанного поискового робота BETA
XF Bot Guard теперь включает в себя опциональную бета-версию резервной проверки Web Bot Auth. Проще говоря, это новый способ, с помощью которого признанные поисковые роботы могут криптографически подтверждать, что запрос действительно поступил от них. Если обычные проверки с помощью верифицированных поисковых роботов не дают результата, XF Bot Guard может использовать подписи Web Bot Auth в качестве резервного способа проверки.
По умолчанию эта функция отключена, поскольку спецификация все еще находится в стадии разработки и не все поисковые роботы и запросы поисковых роботов ее поддерживают. Функция не доверяет автоматически каждому боту с подписью: неизвестные боты с подписью не считаются проверенными, подписи с ошибками или истекшим сроком действия не принимаются, а при невозможности проверки оценка Bot Guard продолжается в обычном режиме.
Чтобы попробовать, включите Разрешить проверенным поисковым роботам и сборщикам данных, убедитесь, что кэш приложения XenForo настроен и доступен для записи, затем включите BETA (предварительная спецификация): разрешить использование резервной аутентификации веб-ботов для распознанных поисковых роботов. Для встроенных идентификаторов Signature-Agent добавьте доверенные источники HTTPS в разделе BETA (предварительная спецификация): дополнительные шаблоны Signature-Agent для аутентификации веб-ботов.
Подробнее об аутентификации веб-ботов можно узнать здесь:
https://developers.google.com/crawling/docs/crawlers-fetchers/web-bot-auth
Важные примечания по обновлению для существующих клиентов:
Существующим клиентам, использующим Cloudflare Edge Enforcement, после обновления необходимо заново создать управляемое правило Cloudflare и список IP-адресов.
Перейдите в раздел Обзор → Отключить управляемое правило Cloudflare → выберите Удалить управляемое правило и список IP. Затем вернитесь в раздел Обзор и нажмите Восстановить настройки Cloudflare.
Это необходимо, поскольку XF Bot Guard теперь использует более строгий подход к отслеживанию прав собственности на управляемые правила, поэтому он обновляет именно то правило, которым владеет, а не то, название или описание которого совпадает.
Тип выпуска: минорная версия
XF Bot Guard 1.3.4 — это обновление, направленное на повышение безопасности и надежности работы Cloudflare Edge Enforcement. Оно включает в себя более безопасную обработку внешних ответов, более строгую проверку начальной загрузки, более корректное поведение при развертывании URL, возможность исключения RSS/Atom-каналов и небольшие улучшения для удобства администраторов.
Более безопасное управление Cloudflare Edge Enforcement
Cloudflare Edge Enforcement теперь более точно определяет управляемое правило XF Bot Guard, что снижает риск обновления или удаления неправильного правила Cloudflare, если у другого правила похожее название или описание. Это делает действия по восстановлению, отключению и синхронизации Cloudflare более безопасными для существующих конфигураций Cloudflare. Никаких новых настроек не требуется, но после обновления пользователям Cloudflare Edge Enforcement следует ознакомиться с приведенным выше примечанием.
Ограниченная обработка внешних ответов
Теперь внешние ответы, используемые при обновлении диапазонов ASN и вызовах Cloudflare API, имеют более жесткие ограничения. При обновлении WHOIS/IRR на основе ASN принимаются более крупные легитимные ответы, при этом соблюдается максимальный размер ответа и количество диапазонов, а ответы Cloudflare API также ограничиваются, чтобы предотвратить чрезмерный расход памяти из-за неожиданно больших удаленных ответов или сбои при выполнении административных действий. Это происходит автоматически при использовании сетевых списков на основе ASN или Cloudflare Edge Enforcement.
Более надежное доказательство сбора данных bootstrap
Для коллекции Bootstrap теперь требуется корректное подтверждение для сборщика, специфичного для Bootstrap, вместо обычного токена сборщика в путях, предназначенных только для Bootstrap. Это упрощает процесс предварительной проверки в браузере и предотвращает смешивание подтверждений для обычной коллекции и проверки Bootstrap. Включать ничего не нужно — это происходит автоматически при использовании проверки Bootstrap.
Улучшенная обработка перенаправления при раскрытии URL
Легкие ответы, содержащие только метаданные, для агентов, выполняющих развертывание URL, теперь сохраняют корректные редиректы XenForo, но при этом возвращают пустое тело ответа. Это помогает социальным сервисам предварительного просмотра и развертывания URL следовать каноническим редиректам, например при переходе по ссылкам на публикации на их конечные URL, не раскрывая защищенное содержимое страницы на этапе редиректа. Это происходит автоматически, если включены легкие ответы и настроены шаблоны пользовательских агентов для развертывания URL.
Дополнительное исключение из RSS/Atom-канала
Новая опция «Исключить RSS/Atom-каналы из защищенных зон» позволяет администраторам не обрабатывать запросы RSS и Atom-каналов в рамках защищенной системы Bot Guard. Если эта опция включена, запросы к каналам считаются незащищенными и не проходят через защищенную систему оценки, проверки, отклонения, пограничных кандидатов, начальной загрузки или быстрого ответа. Отключите эту опцию, если вам по-прежнему нужна существующая система оценки и отклонения запросов к каналам Bot Guard, не требующая взаимодействия. Включите ее, если ваше сообщество зависит от свободного доступа к каналам.
Снижение энтропии браузера и сигналов автоматизации
Проверка браузера теперь включает в себя несколько дополнительных индикаторов согласованности и автоматизации работы с браузером, в том числе дополнительные маркеры в стиле Selenium/Phantom/Nightmare и проверку согласованности объектов Chrome. Эти сигналы дают Bot Guard больше информации при оценке автоматизированных или нестандартных браузерных сред без необходимости какой-либо настройки со стороны администратора. Они собираются автоматически в рамках обычной проверки браузера.
Напоминание о необходимости поддержки
Теперь администраторы могут навсегда скрыть напоминание о поддержке разработки, которое отображается на страницах администрирования XF Bot Guard. Администраторы с правами на управление опциями XenForo могут отключить его прямо в напоминании или воспользоваться новой опцией Скрыть напоминание о поддержке разработки. Это позволяет освободить административную панель после просмотра напоминания.
Общее упрочнение и очистка
В этом выпуске также улучшена надежность классификации запросов, нормализации URL/путей, обнаружения ресурсов, не относящихся к страницам, обработки состояния синхронизации Cloudflare, записи резервных вариантов, сведений о пакетах поддержки, инвентаризации пакетов ресурсов и тестового покрытия. Эти изменения повышают согласованность в пограничных случаях, таких как маршруты в стиле запросов, статические ресурсы, обнаружение фидов, обработка URL с одинаковым источником и диагностика сбоев. Никаких действий не требуется.
Важные примечания по обновлению для существующих клиентов:
В этом выпуске добавлены новые файлы для поиска IP-адресов по странам/ASN и локальный считыватель MMDB, в результате чего размер дополнительного пакета увеличился примерно до 30 МБ.
Если вы обычно загружаете дополнения через XenForo ACP, возможно, вам потребуется увеличить значения параметров PHP post_max_size и upload_max_filesize для загрузки файлов большего размера. В противном случае загрузите файлы вручную через FTP, SFTP или SCP перед обновлением.
Тип выпуска: минорная версия
XF Bot Guard 1.3.3 — это обновление, направленное на повышение надежности, прозрачности и безопасности. Оно направлено на снижение количества ложных срабатываний при обычной навигации по XenForo, улучшение видимости по странам и автономным системам нумерации, повышение отказоустойчивости Cloudflare Edge Enforcement, ужесточение обработки токенов безопасности, а также упрощение настройки и диагностики для администраторов.
Улучшение: более продуманная хронология ссылок для форм и перенаправлений
Link Chronology теперь безопасно обрабатывает более распространенные пути навигации по XenForo, в том числе некоторые действия в нативных формах и продолжения редиректов с того же источника. Это помогает снизить количество ложных срабатываний, когда легитимные пользователи перемещаются по таким разделам, как поиск, теги, раздел «Что нового», а также по разделам после редиректа, при этом защищая от прямого парсинга защищенных URL-адресов, которые никогда не были доступны посетителю. Чтобы использовать эту функцию, включите Link Chronology в настройках XF Bot Guard. Отключайте ее только в том случае, если вы внедряете систему постепенно или не можете настроить WAF на хостинге.
Функция: резервный поиск по стране и ASN
XF Bot Guard теперь может использовать объединенные базы данных по странам и ASN-идентификаторам локальных IP-адресов, если недоступны доверенные прокси-заголовки. Это означает, что сигналы на основе страны и ASN-идентификатора будут более полезными при использовании большего количества хостингов, поскольку IP-адреса посетителей не будут передаваться во внешнюю службу поиска во время запросов. Загрузите полный пакет обновлений, а затем убедитесь, что объединенные базы данных работают корректно в разделе Дополнительно → Проверка работоспособности. Отдельный ключ API или внешняя учетная запись не требуются.
Функция: карта и таблица давления в разных странах
На панели управления теперь есть раздел «Давление со стороны страны», в котором показано, откуда поступают запросы на принудительное вмешательство, запросы на проверку браузера, которые не обрабатываются, и запросы на вмешательство только для наблюдения. Это позволяет администраторам получить более четкое представление о давлении со стороны злоумышленников в разбивке по регионам и принимать более взвешенные решения в отношении сетевых правил, региональных закономерностей и настроек только для наблюдения. После обновления откройте панель управления XF Bot Guard. Данные о давлении со стороны страны начнут накапливаться с момента обновления и не будут восстанавливаться ретроспективно на основе существующих снимков панели управления.
Исправление: безопасная для гонок очередь Cloudflare Edge
Очередь кандидатов Cloudflare Edge стала безопаснее, если несколько запросов с одного и того же IP-адреса удовлетворяют требованиям одновременно. Вместо того чтобы выдавать ошибку при дублировании записи в очереди, XF Bot Guard перезагружает и обновляет существующую запись о кандидате. Это повышает надежность во время всплесков трафика и помогает Cloudflare Edge Enforcement поддерживать актуальное состояние кандидатов. Включать ничего не нужно — эта функция активируется автоматически при включении Cloudflare Edge Enforcement.
Функция: принудительное отключение для сетей с принудительным вызовом
Принудительные сети для проверки подлинности теперь можно при желании рассматривать как сети с жестким запретом. Это полезно, если у вас есть определенные IP-адреса, диапазоны адресов или автономные системы нумерации, для которых проверка подлинности больше не требуется, и вы хотите, чтобы XF Bot Guard выдавал прямой отказ. Добавьте соответствующие сети в настройки принудительной проверки подлинности, а затем включите жесткий запрет для принудительных сетей.
Функция: очистка в часы, выбранные администратором
Теперь администраторы могут выбирать часы, в которые разрешена обрезка контента в XF Bot Guard. Это позволяет не проводить масштабную очистку в периоды пиковой нагрузки на форумах. По умолчанию очистка разрешена в течение всего дня, поэтому после обновления существующие сайты будут работать так же. Чтобы воспользоваться этой функцией, установите время начала и окончания очистки в настройках XF Bot Guard, а затем проверьте текущий статус очистки в разделе Дополнительно → Проверка работоспособности.
Усиление защиты: работа с токенами, защищенными CSPRNG
Для токенов безопасности теперь используются более строгие правила безопасной генерации случайных чисел. Если безопасный источник случайных чисел в PHP недоступен, XF Bot Guard не будет создавать токены безопасности с уязвимостями, а не будет использовать менее надежные значения. Это защищает потоки токенов сбора, возврата, непрерывности, отчетов и канареечных токенов от небезопасной генерации случайных чисел. Никаких настроек не требуется. Проверьте «Дополнительно» → «Проверка работоспособности», чтобы убедиться, что безопасная генерация случайных чисел работает корректно.
Документация: совместимость ModSecurity / Comodo CWAF
В документации теперь есть специальные рекомендации для хостов, использующих ModSecurity или Comodo CWAF. Некоторые общие правила WAF могут давать ложные срабатывания в отношении файлов cookie, принадлежащих Bot Guard, особенно при наличии резервных файлов cookie Link Chronology. В новых рекомендациях описаны симптомы, которые следует искать в журналах аудита WAF, а также способы исключения только значений файлов cookie XF Bot Guard без глобального отключения ModSecurity. Воспользуйтесь этими рекомендациями, если на вашем сайте появляются ошибки WAF после включения более продвинутых сигналов защиты.
Исправление: отображение темного режима ACP до версии XF 2.3
Стилизация XF Bot Guard в ACP была скорректирована таким образом, чтобы в старых версиях XenForo не применялся темный режим в стиле XF 2.3. Это делает страницы администратора Bot Guard более удобными для чтения в версиях до XF 2.3, сохраняя при этом современный темный режим там, где он поддерживается. Настраивать ничего не нужно. Если после обновления в браузере администратора все еще отображается старая стилизация, обновите кэш браузера.
Улучшение: более удобный порядок выбора опций ACP
Порядок параметров XF Bot Guard стал более логичным. Связанные элементы управления теперь сгруппированы более естественным образом, что упрощает сканирование ACP и снижает вероятность того, что важные настройки будут пропущены. Существующие значения параметров сохранены. После обновления откройте параметры XF Bot Guard, чтобы увидеть обновленный интерфейс.
Улучшение: более понятные формулировки и документация
Фразы и документация в надстройке были приведены в соответствие друг с другом, поэтому в пользовательском интерфейсе, документации, проверках работоспособности, формулировках в журнале событий, формулировках Cloudflare Edge Enforcement и рекомендациях службы поддержки используется более единообразный язык. Это не влияет на работу защиты, но упрощает настройку, устранение неполадок и общение со службой поддержки после обновления.
Укрепление: проверка статической совместимости PHP 7.2
В процессе выпуска новой версии теперь используется дополнительный механизм проверки совместимости с синтаксисом и сигнатурами PHP 7.2. Это помогает предотвратить случайную установку кода, предназначенного только для новых версий PHP, на системы клиентов, которые все еще используют поддерживаемые версии XenForo/PHP. Включать ничего не нужно — это проверка качества выпуска, которая делает обновления более безопасными.
Укрепление: общие улучшения в области безопасности и поддержки
В этом выпуске также были внесены небольшие изменения в систему безопасности запросов, получение данных из внешних источников, запись о сбоях в работе краулера, исключение вложений и ресурсов, защита внутренних идентификаторов, диагностика синхронизации параметров Cloudflare и сигналы о работоспособности пакетов поддержки. Эти изменения сокращают количество ложных срабатываний в пограничных случаях, упрощают диагностику сбоев в работе системы и позволяют лучше контролировать конфиденциальную диагностику. Никаких действий не требуется: эти улучшения применяются автоматически после обновления.
В XF Bot Guard 1.3.2 основное внимание уделяется снижению нагрузки на сервер, более точному обнаружению ботов на форумах и повышению стабильности работы на крупных сайтах. В новой версии расширено кэширование данных для защиты по наиболее важным направлениям, добавлены новые поведенческие сигналы, связанные с хронологией ссылок и временем пребывания на сайте, повышена надежность панели управления, а также добавлена новая проверка работоспособности для устранения проблем с URL-адресами досок объявлений.
Более быстрая защита с помощью более дешевого считывания данных с горячих дорожек
XF Bot Guard уже использовал кэш приложений XenForo на основном «горячем» пути. В версии 1.3.2 этот подход с использованием кэша был распространен на все совместимые «горячие» пути, включая такие области, как счетчики, поиск проверенных ботов, сопоставление сетей, анализ шаблонов быстрого ответа, контекстные ссылки и состояние хронологии ссылок. Проще говоря, это означает, что Bot Guard может избежать множества повторяющихся запросов на чтение из базы данных при высокой нагрузке за счет повторного использования кэшированных данных, если это возможно.
В Bot Guard нет ничего нового, что можно было бы включить. Если кэш приложений XenForo настроен и заполнен, Bot Guard будет использовать его автоматически. В противном случае Bot Guard будет по-прежнему обращаться к базе данных и продолжит работать в обычном режиме, но форумам с высокой посещаемостью настоятельно рекомендуется включить кэш приложений XenForo. Лучше всего использовать Memcached, на втором месте — Redis. APC/APCu может быть полезен для небольших односерверных установок, но не рекомендуется для крупных и посещаемых сообществ.
Более интеллектуальная проверка переходов по ссылкам на форуме
Функция «Хронология ссылок» помогает Bot Guard отличать обычный просмотр от перехода по URL-адресам, характерного для парсеров. Когда посетитель просматривает защищенную страницу, Bot Guard сохраняет в течение короткого времени информацию о защищенных внутренних ссылках, которые были видны на этой странице. При следующем защищенном запросе система может определить, переходит ли посетитель по ссылке, которую ему недавно показали, перезагружает ли ту же страницу или сразу переходит на другой защищенный URL, который не был частью его недавнего пути.
Это важно, потому что реальные пользователи обычно переходят по видимым ссылкам на форумах, в то время как боты часто используют списки URL-адресов, предполагаемые пути, скопированные маршруты или прямой обход защищенных страниц. Сигнал адаптируется под каждый форум, поскольку строится на основе реальных страниц, ссылок и структуры маршрутов этого форума. Он включен по умолчанию, но его можно настроить или отключить в разделе «Хронология ссылок». Он повышает риск, но не приводит к полной блокировке.
Обучение с учетом времени пребывания на форуме
Анализ времени пребывания на странице позволяет Link Chronology лучше понять, как выглядит «обычный» просмотр в каждом отдельном сообществе. Bot Guard анализирует навигацию зарегистрированных пользователей, чтобы определить приблизительные локальные границы того, сколько времени люди обычно проводят между переходами между защищенными страницами. На быстро развивающемся форуме службы поддержки, на форуме с длинными обсуждениями и в сообществе, ориентированном на СМИ, обычное поведение пользователей может быть разным, поэтому Bot Guard анализирует сам форум, а не опирается на одно фиксированное глобальное правило.
Эта функция разработана таким образом, чтобы не нарушать конфиденциальность пользователей. Bot Guard не нужно идентифицировать отдельных участников, хранить историю их просмотров или знать, что именно они читали, чтобы построить эту модель. Она использует локальные совокупные данные о поведении пользователей, чтобы понять обычный ритм работы форума, а затем добавляет ограниченные риски только в тех случаях, когда переход по защищенной ссылке происходит слишком быстро или слишком медленно по сравнению с обычным поведением пользователей на этом форуме. Если локальных данных недостаточно, оценка времени пребывания на сайте просто не применяется.
Более надежная панель управления для крупных сайтов
Теперь на дашборде не загружаются в память неограниченные строки с метриками маршрутов и времени. Отчеты о маршрутах ограничиваются наиболее релевантными маршрутами, результаты маршрутов извлекаются только для выбранных маршрутов, а сводки по времени рассчитываются с учетом ограничений по памяти.
Это позволяет избежать нехватки памяти в панели управления при работе с большими или загруженными системами. Ничего включать не нужно. Обновите панель управления и используйте ее в обычном режиме.
Проверка работоспособности источника URL-адреса доски объявлений
Проверка работоспособности теперь сверяет исходный URL-адрес форума XenForo с исходным адресом текущего публичного запроса. Это помогает выявлять распространенные проблемы с конфигурацией, такие как несоответствие HTTP/HTTPS, неправильный хост, несоответствие www/не-www, несоответствие портов или проблемы с обработкой прокси.
Это важно, поскольку несовпадение источников может повлиять на проверку браузера на соответствие одному источнику, URL-адреса пробных запросов и URL-адреса ресурсов. Чтобы воспользоваться этой функцией, после обновления откройте страницу проверки работоспособности XF Bot Guard и просмотрите результат проверки источника URL-адреса доски. Если система сообщит о проблеме, исправьте URL-адрес доски XenForo или конфигурацию HTTPS/хоста вашего прокси-сервера, а затем повторите проверку.
Количество постоянных участников в Интернете увеличивается
При корректировке онлайн-показателей Bot Guard теперь используется единый показатель активности сессий XenForo, а не совокупность отдельных показателей, которые могут незначительно отличаться при перемещении или загрузке.
Это устраняет временные несоответствия в общем количестве онлайн-пользователей, включая участников, гостей и тех, чьи аккаунты были заблокированы. Это изменение применяется автоматически, если включена защита от ботов и опция корректировки количества онлайн-пользователей.
Важные примечания по обновлению для существующих клиентов:
Для прямого обновления до XF Bot Guard 1.3.1 требуется, чтобы на вашем сайте уже была установлена XF Bot Guard 1.2.9 (1020970) или более новая версия. Если на вашем сайте установлена более старая версия XF Bot Guard, сначала обновите ее до промежуточной версии, которая все еще содержит устаревшие миграции, убедитесь, что обновление прошло успешно, а затем установите версию 1.3.1. Пользователи, у которых уже установлена версия 1.2.9, 1.3.0 или более новая, могут выполнить обновление в обычном режиме.
Тип выпуска: минорная версия
В XF Bot Guard 1.3.1 основное внимание уделяется более безопасным обновлениям, более понятным отчетам на панели управления, более надежным контекстным ссылкам, улучшенной поддержке локализации, безопасной для конфиденциальности диагностике и снижению нагрузки на базу данных. Большинство изменений применяются автоматически после обновления и не требуют дополнительных настроек.
Более безопасные прямые обновления с поддерживаемых версий
XF Bot Guard теперь строго соблюдает поддерживаемый базовый уровень прямого обновления до версии 1.2.9 или более новой. Это предотвращает попытки очень старых версий системы напрямую перейти на новую схему без необходимых этапов миграции. Если у вас уже установлена версия 1.2.9 или более новая, просто обновите систему как обычно. Если у вас более старая версия, сначала обновите ее с помощью необходимого переходного выпуска.
Более наглядные предупреждения о покрытии снимка приборной панели
Теперь на дашборде отображается предупреждение о том, что выбранный временной диапазон еще не полностью охвачен доверенными снимками. Это позволяет избежать ситуации, когда неполные графики воспринимаются как «отсутствие активности ботов», хотя на самом деле проблема заключается в отсутствии, задержке или незавершенности создания снимков дашборда. Откройте дашборд в обычном режиме. Если появится предупреждение, проверьте выбранный диапазон, срок хранения снимков, ежечасный cron для создания снимков и работоспособность/статус.
Более точная панель мониторинга только для наблюдения
Отчеты на панели управления, предназначенные только для наблюдения, теперь лучше соответствуют данным на панели управления активным правоприменением, при этом данные о потенциальных действиях не смешиваются с реальными данными о правоприменении. В показателях давления на маршрут и результатах маршрута теперь используются правильные группы снимков, предназначенные только для наблюдения, поэтому администраторы могут с большей уверенностью тестировать настройки, прежде чем включать активное правоприменение. Включите режим «Только наблюдение», как обычно, а затем просмотрите разделы «Потенциальные вызовы», «Потенциальные отказы» и «Давление на маршрут» на панели управления.
Более надежные канарейки для контекстных ссылок
Контекстная канареечная ссылка была переработана таким образом, чтобы изменять соответствующие якорные теги без повторной сериализации всего HTML-документа. Это делает канареечные ссылки более безопасными при работе со скриптами, стилями, комментариями, шаблонами, заголовками, содержимым текстовых полей, тегами в верхнем регистре, атрибутами без кавычек и более сложной разметкой страницы. Если контекстные канареечные ссылки уже включены, исправление применяется автоматически. В противном случае включите их в настройках XF Bot Guard, если вам нужен дополнительный уровень защиты от ботов.
Ускоренная проверка баз данных на загруженных форумах
Несколько часто используемых запросов были оптимизированы, чтобы сократить ненужную нагрузку на базу данных. Это включает в себя более удобные для индексов проверки контроллеров, дедуплицированные запросы на подсчет количества событий, более быстрые проверки существования объектов и кэширование схемы на уровне запросов. Ничего включать не нужно: после обновления улучшенные пути выполнения запросов используются автоматически.
Полностью сформулированный текст для администратора и панели управления
В интерфейсе администратора XF Bot Guard, на панели управления, в разделе работоспособности, в Cloudflare, при настройке и в текстах, связанных с JavaScript, теперь используются фразы XenForo. Это упрощает перевод, настройку и приведение в соответствие с языковыми настройками вашего форума. При необходимости используйте обычные языковые инструменты XenForo для корректировки формулировок.
Диагностика поддержки конфиденциальных браузеров
Буфер отладки браузера по умолчанию выключен и активируется только в том случае, если для режима отладки явно задано значение true. Если он включен для устранения неполадок в работе службы поддержки, он сохраняет небольшой очищенный журнал последних действий и не раскрывает конфиденциальные данные, такие как идентификаторы посетителей, токены, значения CSRF, возвратные URL, пути запросов, строки запроса, URL скриптов, значения localStorage и необработанные сигналы браузера. Не включайте его при обычном использовании и активируйте только в том случае, если служба поддержки попросит вас об этом.
Более чистый поддерживаемый путь обновления
Устаревшие способы миграции и совместимости, которые больше не поддерживаются при прямом обновлении, были упразднены. Это упрощает процесс обновления и позволяет сосредоточить текущий код на поддерживаемых установках, а не поддерживать устаревшие методы хранения данных, хеширования и восстановления параметров. Никаких настроек не требуется. Единственное, что нужно помнить: установки старше версии 1.2.9 необходимо сначала обновить до требуемой промежуточной версии.