[resolu]Formulaire et script anti-spam

bonjour à tous ...

il y a peu j'ai mis un système de commentaires sur mon humble site et j'ai eu la première "visite' d'un spammer ajoutant une liste d'adresses ....
(heureusement les htmlentites ont fait leur office et ce lien ont été ajouté entre des crochets Droit et donc non-exploitable)

Comme je veux pas passer mon temps à les effacer via mon 'admin' j'ai trouvé sur le forum la solution des 'catchapa" ( orthographe !? ) et j'ai récupéré les codes de Cryptograph en php ..

en lisant quelques infos par ci par là, j'ai vu qu'il se basait sur l'incapacité des robots-spammer de "lire les images"...

Comme je trouve les codes un peu long je me suis demandé s'il est possible de mettre juste une seule image avec un texte 'statique' ( le robot ne saura jamais que c'et la même vu qu'il ne sait jamais ce qu'il y a dedans ) ,..

Le visiteur rentre le texte ( ce sera toujour le meme : par exemple 'killthespam" ) et la comparer à une varaible $boumboum = "killthespam"

Si ok on ouvre la connection (via une fonction) !!

Est-ce que cela peut poser un problème de toujours proposer la même image-texte ?

merci de vos conseil
Modifié par kzone (01 Mar 2007 - 17:22)

Bonjour,

l'ortho est 'captcha'.
Le problème des images est qu'il n'y a pas que les robots qui ne savent pas lire les images: ce n'est pas une solution très accessible malheureusement.
EDIT: Raphaël utilise pour le blog d'Alsa un anti-spam texte (regarde le code source d'un billet pour voir ce que voit le robot de spam) qui est une extension de Dotclear. Ca n'empêche pas le spam par Trackback et parfois quelques commentaires de spam, en tout cas la nature du spam évolue tous les quelques mois, à la recherche des failles faciles à exploiter.


Le texte statique a pour avantage d'être simple et résistant aux solutions de spams les plus 'bêtes' et automatisées. L'inconvénient est que si un spammeur s'intéresse à ton site, il va très rapidement découvrir que:
- son spam n'arrive pas à être en ligne donc qu'il y a une protection.
- que la protection est facile à contourner
- il adapte son système à ta protection
- tu changes le mot requis
- il modifie le mot également de son côté
- tu le modifies tous les jours
- il modifie son système pour être mis à jour manuellement toutes les 24H: il télécharge ta page, ne garde que l'image, la fait apparaître sur son écran à 09h00, tape ce qu'il voit ce qui met à jour son système.
- Puis automatisation complète: dès qu'un spam ne passe plus, le manège se répète. S'il embauche 50 chinois ou thaïlandais ou qui tu veux à bas prix, tu n'as pas fini de lutter

Le tout est de savoir si ton site est suffisamment intéressant pour les spammers. C'est facile pour eux de chercher des pages web avec <form> dedans, c'en est une autre de prendre la peine de personnaliser leur script pour *ton* site.
Un site avec le PR du Standblog par exemple, ça vaut le coup ou bien ouvrir des milliers de comptes mail chez Yahoo! mais un site avec 3 visites/jour par contre ...
Modifié par Felipe (01 Mar 2007 - 15:56)

merci pour toutes ces infos ....

Heureusement ( ?) pour moi je ne pense pas que mon site soit digne d'un interêt prononcé pour les spammers (mais mieux vaut prénenir que guérir !)
et je ne pensais pas du tout à toute l'énergie que pouvait dépenser certaines personnes pour profiter de "failles" dans des formulaires ...

effectivement ,un des inconvénients que j'avais relevé pour l'utilisation d'image
étais l'inaccessibilité pour certaines personnes de pouvoir le lire ..

Au fait un'spammer' peut facilement copier le l'attribut "alt" d'une image je suppose ..!?

Donc pas une solution terrible que celle des 'catpcha' (Catchapa c'est un joueur de Lyon ) ...
je vais suivre ton conseil et regarder un des codes sources de billet ...

En fait le but est de trouver une condition qu'un 'robot' ne peut traduire autrement que par 'false' ...!?

a écrit :

Un site avec le PR du Standblog

.. le PR ??
Modifié par kzone (01 Mar 2007 - 16:40)

J'avais vu ce très bon article en Anglais pour lutter contre le spam.

.. post croisé ... je vais aller lire celà !
merci

edit : l'idée de la question -réponse (comme dans les billets du site ) me plait bien .... simple et je pense bien suffisante pour l'instant !

Concernant les Honeypots (voir article proposer par paitidou) , j'ai pas tout compris , (le fait de cacher un champ du formulaire avec un css display:none )
au niveau de la mise en oeuvre ...(faut que je sorte mon dico d'anglais )

je vais aller travailler tout cela

merci à vous ...( mais je pense que je vais "reviendre" bientôt )
Modifié par kzone (01 Mar 2007 - 17:18)

kzone a écrit :
.. le PR ??

Page rank.

... merci pour l'acronyme !

je crois que mon site est pas trop concerné par le PR
... enfin pas encore
Modifié par kzone (01 Mar 2007 - 17:21)

hello, moi aussi je suis victime de spam sur l'un de mes sites.

Je suis averti par mail lorsque lorsque l'on signe mon livre d'or, et ces derniers temps ce n'était que du spam..

Alors, j'ai limité les choses en intégrant une petite liste noire, et hop quand quelqu'un signe le livre d'or, je vérifie si cette adresse n'est pas blacklisté, si elle l'est je ne l'autorise pas à mettre de signature. Autre chose que j'ai faite dernierement, j'expedie le spammeur vers google.fr

En attendant de trouver une solution, je vais suivre le fil de ce topic
Modifié par chpego (02 Mar 2007 - 12:03)

kzone a écrit :
.
Concernant les Honeypots (voir article proposer par paitidou) , j'ai pas tout compris , (le fait de cacher un champ du formulaire avec un css display:none ) au niveau de la mise en oeuvre ...(faut que je sorte mon dico d'anglais

Tu mets un champs bidon mais crédible que tu appelles par exemple "city" avec un "display:none". La majorité des surfeurs (sauf ceux utilisant un navigateur texte) ne verront pas ce champ et donc son contenu restera toujours vide. Par contre, les robots spammeurs, très stupides, vont s'empresser de le remplir. Il «suffit» donc de vérifier si ce champ est rempli pour savoir si c'est un robot ou non.

Dotclear2, dispose d'un tel champ dans le formulaire pour les commentaires.
Modifié par Patidou (02 Mar 2007 - 12:02)

merci Patidou ,

maintenant je comprends mieux le fonctionnement des stupides robots ...
J'avais suivi les conseils concernant un anti-spam 'textuel" , mais l'idée du champ à laisser vide me plait bien aussi ...

Mais est-ce qu'ils le remplissent systématiquement ou bien ils pourraient vérifier que le champs est obligatoire ou pas ....et ne remplir que ceux désignés comme obligatoires !

Auquel cas , est-ce qu'ils peuvent laisser le champ vide !?

Bonjour,

Perte de temps, temps perdu, mais amusant

Tant que vous gardez ça inoffensif pour les utilisateurs...

Je crois que la meilleure solution est de peut-être de mélanger plusieurs astuces. D'ailleurs l'auteur de l'article combine son pot de miel avec d'autres techniques plus sophistiquées.

Sinon, comme le sous-entend Laurent Denis, il faut voir combien de temps les robots vont marcher avec ce subterfuge. Peut-être en variant le nom du champs bidon ça retarderait l'échéance…

a écrit :

Laurent Denis
Perte de temps, temps perdu, mais amusant cligne

Tant que vous gardez ça inoffensif pour les utilisateurs... ravi

... sûrement !!! mais pendant ce temps là je travaille mon PHP qui est loin d'être de haute voltige ...

Mais dans les cas où , le méchant robot parvient à inclure du contenu ( en fait si les humains visiteurs ne valide pas le champ anti-spam ) je vais remplacer ce contenu par une blague à toto .... ! ....

non non sérieux !
Modifié par kzone (02 Mar 2007 - 19:55)