5568 sujets

Sémantique web et HTML

Bonjour,
J'ai mis un Catchpa Google sur un formulaire WP et pourtant je reçois du Spam avec ce formulaire
Comment faire ?
Merci
Modérateur
Bonjour,

Vaste problème ! Smiley biggrin

1) Il y a plusieurs types de captcha Google. Tu peux éventuellement tenter de choisir un autre type que celui que tu as mis en place dans l'interface de google.

2) Tu peux éventuellement ajouter une sécurité supplémentaire faite-maison. Par exemple, on peut faire une analyse simple (côté serveur) du texte du message. Si par exemple il contient plusieurs mots ou expressions du genre "E-commerce", "discount", "advertisement", etc, et que ces mots n'ont aucun rapport avec le site, on ignore silencieusement la demande. Tu n'arrêteras pas tous les spams avec ce système, mais tu pourras les diminuer fortement.

3) À part ça, il existe des tas d'autres moyens. Mais aucun ne sera parfait de toute façon.

Amicalement,
Bonjour,

Les CAPTCHA ne sont pas la solution ultime, et sont au mieux très énervants, au pire complètement bloquants pour les utilisateurs légitimes.
En plus en résolvant un CAPTCHA, vous contribuez gratuitement aux IA des GAFAM.

Même les CAPTCHA simples du style "Combien font 1 + 1 ?" ou "Quelle est la couleur du cheval blanc d'Henri IV ?" ne sont pas la panacée, et les bots commencent à les passer.

Moi-même je bataille depuis longtemps contre les spam sur la page contact de mon site, et je pense que la meilleure solution est l'accumulation de nombreux petits filtres non intrusifs, qui mis ensemble peuvent donner des soupçons plus ou moins forts de spam.


1. Le filtre de mots-clés qui n'ont rien à voir avec le site, genre "sexe", c'est simple et ça élimine déjà les spams les plus stupides mais attention à ne pas bloquer systèmatiquement dès la première occurence, c'est trop radical.
2. Les filtre de mots qui n'ont aucun sens dans aucune langue, genre "xxxxyyyyzzzz", parce que certains bots s'amusent aussi à envoyer des messages totalement inintelligibles. Ce filtre fonctionne aussi sur l'e-mail de l'expéditeur (vous pensez vraiment que dfdfdfdf123@gmail.com existe et si oui, si ça peut être autre chose qu'une adresse poubelle, sérieusement ?)
3. La liste de domaines e-mail jetables. Oui parce que la page contact, c'est pour prendre contact, alors dehors les 10 minutes mail ! ET accessoirement aussi, dehors les rageux qui vous traitent de pauvre con et qui n'attendent de toute façon pas de réponse ! En principe quand on a un commentaire constructif, on n'a pas de problème à l'assumer et donc on n'utilise pas d'e-mail jetable. Ce qui est difficile, c'est de maintenir cette liste à jour, parce que ça change souvent et rapidement.
4. Se souvenir des adresses IP qui postent. 2 ou 3 messages de la même IP en 24h, OK, mais il ne faut pas déconner, un par heure ou même un toutes les deux heures, il y a quelque chose qui ne va pas. Ca parait idiot, mais malgré tout, ça aide quand même ! La page contact, c'est pour prendre contact, après pour répondre on ne passe plus par là normalement.
5. Un peu plus subtil: le nombre, la concentration et la répétition d'URL dans le message. Oui, car une ou deux URL dans un message assez long, c'est pas forcément à bannir, mais que pensez-vous d'un message d'une seule phrase avec deux URL ? et 3 ou 4 URL diluées dans un gros pavé mais identiques ? Note: exclure du compte les URL qui pointent sur son propre site.
6. Le HTML. Si vous ne permettez que l'envoi de texte brut et que vous recevez un peu de HTML, il y a un problème non ? ET même si vous permettez un peu de mise en forme, vous ne voulez quand même pas autoriser <script> ? ou peut-être pas les images et vidéos non plus ? J'ai déjà vu aussi des messages avec du code js ou PHP donc si votre site ne s'occupe pas d'informatique, il n'a rien à faire là non plus.
7. Plus intéressant, mais un peu plus compliqué à mettre en place: vérifier l'IP de l'expéditeur avec les listes PBL, SBL, XBL & co. Si ça vient d'un serveur qui n'est pas censé envoyer des e-mails et non d'un particulier, il y a de grandes chances pour que ce soit un bot... ou un VPN, mais les VPN c'est douteux aussi.
8. Encore plus intéressant, mais encore plus compliqué, et potentiellement assez cher: il existe des services qui peuvent vous dire si jesuiscon@gmail.com existe et peut même vous donner un score de légitimité. Certains vous diront que le plus simple pour savoir si une adresse existe est d'envoyer effectivement un mail. Sauf qu'il existe des adresses piège qui, quand on envoie un mail, vous catalogue comme spam ! Bon à savoir: on peut paralyser un site qui a une page contact mal sécurisée avec ça si on veut...

Sans même compter les points 7 et 8, c'est déjà pas mal je crois, et on n'a pas du tout gêné les utilisateurs.
Ca n'enlève pas tous les spams des bots assistés les plus talentueux, mais le 95% des spams sont tellement bien construits qu'il se feront sans problème attraper par l'un ou l'autre des filtres proposés ci-dessus.