Trois idées anti-spam

Par Baptiste, le dimanche 27 août 2006 à 16:00 dans Web :: #44 :: rss

Vous écrivez une application recevant des commentaires et susceptible d'être spammée ? Les exemples sont nombreux, un blog, un livre d'or, une galerie de photos, et tous sont touchés. Si on part dès le début avec l'idée de se protéger, on peut arriver à quelque chose d'assez hermétique, sans adapter la solution extrême et désagréable du captcha.

Tout d'abord, les champs aux noms variables.
Pour qu'un robot remplisse correctement un formulaire, il va rechercher le textarea à l'identifiant text, le champ à l'id name et à l'id url. Si ces noms génériques sont abandonnés, au profit de chaînes aléatoires telles que jd1gehj5k4f, et qu'elles sont recalculées à chaque chargement de la page de commentaires, alors vous avez déjà un obstacle de taille au spam. Évidemment, c'est moins pratique pour le visiteur (dont le navigateur ne peut retenir les valeurs des champs pour la prochaine visite), il faut donc absolument ajouter une case "se souvenir de moi" à ce système.

Rajoutez maintenant un input id="url", remplissez le (avec value) par "Merci de laisser ce champ vide", et cachez le ensuite en CSS avec un display=none (ainsi, même avec un navigateur texte, l'humain saura qu'il ne doit pas y toucher). Un robot ne le différenciera pas d'un champ classique, et le remplira (en se basant notamment sur son identifiant). Si le champ est vide ou inchangé, alors on a à faire à un visiteur réel, sinon, c'est un méchant spammeur. Il faut aussi faire attention aux robots qui remplissent les champs qu'ils ne connaissent pas avec "None". Si vous détectez cette valeur, facile de classer le commentaire comme indésirable, aucun humain ne l'utilisera.

On peut aussi calculer le ratio texte/url. C'est simple, un visiteur normal voulant donner une URL l'accompagnera au moins d'un texte d'une taille moyenne. Et si il veut en donner 5, on suppose que son message sera proportionellement 5 fois plus long. On peut partir sur 20 lettres par URL. Pour donner 5 adresses, il faudra 100 lettres (ceux de l'URL bien évidemment non compris), ce qui me semble assez raisonnable. Un simple calcul, donc (après avoir déterminé le nombre d'adresses et le nombre de lettres hors-URL) : nombre_caractères/nombre_URL. Attention, on parle bien de lettres et pas de caractères. Espaces et ponctuation ne doivent pas être compris dans le calcul. Si le résultat est inférieur à 20, on peut penser que le commentaire est un spam. Ça ne peut être entièrement fiable, et ça ne peut rien faire contre les spams "doux" du style "Hi. Very good site. Mine is http://spam.com/" (sauf si ils sont trop doux, du genre "Hi. Very good site. http://spam.com/" !). Par contre, les listes d'adresses seront impitoyablement arrêtées. Ça laissera passer une grande majorité de commentaires réels, rien que "Je suis d'accord avec toi, cf mon billet : http://url.fr/", puisque le ratio sera de 31/1, soit... 31. Dans le même temps, ça ne bloque pas les longs commentaires argumentés et illustrés par pas mal de liens, comme le ferait une simple limitation du nombre d'adresses.

Voici déjà 3 pistes qui donneront du fil à retordre aux robots spammeurs, sans importuner le visiteur avec un captcha parfois pas à la portée de tout le monde (j'ai déjà vu "Quelle est la capitale de la Belgique ?"... ce n'est pas difficile, mais imposer de connaître Bruxelles pour pouvoir commenter un billet me semble un brin déplacé).

Rétroliens

Aucun rétrolien.

Pour faire un rétrolien sur ce billet : http://www.aozeo.com/blog/retrolien/44

Commentaires

1 - Le dimanche 27 août 2006 à 18:21, Bader a écrit :

Générer les fields à chaque chargement de page est couteux en resource et anihile toutes les stratégies de cache. De plus elle implique que coté serveur l'id généré est connu à l'avance, bien compliqué...

Les rations sont déjà implémentés.

Ton idée de champs invisible est à creuser par contre...

Sur mon blog j'ai juste mis une question auquelle il faut répondre par oui...

2 - Le dimanche 27 août 2006 à 20:27, piouPiouM a écrit :

Si les bots retournent obligatoirement un champ url pourquoi ne pas faire en sorte que dans le formulaire ce champ soit inexistant ?
Ainsi la "personne" retournant ce champ fantôme sera obligatoirement un bot et par conséquant son message ne sera pas enregistré.
Bien sur cela ne fonctionnerait que dans le cas d'un bot cherchant à tout prix à poster dans le champ url.

3 - Le dimanche 27 août 2006 à 22:05, Baptiste a écrit :

Bader, pour le cache, je ne pense pas que ce soit un problème : il est tout à fait réalisable de ne pas mettre en cache la partie formulaire. Une variante moins couteuse en ressources serait de générer des noms spécifiques à chaque billet... Pour les ratios, je suis étonné, tu as un exemple d'appli les utilisant, que je vois comment c'est fait ?

Salut piou²M. Je pense que les données POST ne sont pas "forcées" aveuglement, mais que la page est d'abord analysée pour vérifier l'existence de tels ou tels champs. Si le champ url n'est pas du tout présent dans la page, je ne pense pas qu'il soit envoyé. Ceci dit je ne sais pas vraiment comment fonctionnent ces robots... Il faudrait faire des tests.

4 - Le dimanche 27 août 2006 à 22:46, piouPiouM a écrit :

Cette technique fonctionne avec pas mal de bots pour phpBB. Il est donc possible qu'aucune analyse ne soit réellement réalisé ; mais pas pour tous effectivement.

5 - Le mardi 24 octobre 2006 à 15:26, Byc a écrit :

J'ai mis en place un système un peu plus simple: une addition ou une soustraction visible à l'écran, les nombres étant compris entre 0 et 9, il n'y a aucune difficulté à calculer. Ca fait depuis 2-3 semaines que c'est en place et je n'ai plus aucun spam :p