:-y

Spiced Ham ahhhhh !

dimanche 05 mai 2013 - 17:34

Vous vous souvenez, je vous ai dit pour l'anniversaire de tontof.net que je n'avais eu qu'un seul spam. Je ne sais pas si c'est le hasard du calendrier, mais depuis ce jour ça n'a pas arrêté. Ils sont principalement localisés sur 2 articles :
- http://tontof.net/?2012/12/21/21/12/00-la-fin-du-monde-avec-giedre-en-tete
- http://tontof.net/?2013/03/26/18/05/53-quelques-liens-inutiles-pour-passer-le-temps-37

Pour lutter contre ça, j'ai tout d'abord ajouté honeypot grâce à la bibliothèque de Sebsauvage.

Le résultat s'est vite fait ressentir :
En 9 jours, 617 BLOCKED 8-D (Heureusement tous ne réussissaient pas hein !)

Malheureusement, cela n'a pas suffit car les spams ont continué.

Comme mon captcha était simple et très classique, je l'ai changé. Je l'ai laissé simple mais moins classique. (Ça devrait faire plaisir à V!nc3r parce que c'est un peu plus lisible ^^)

Seulement voilà, les spams ont continué. Je me suis dit que les catpchas avec les écritures ascii c'était peut être trop facile à pirater alors j'ai créé des questions du style : Quelle est la première lettre du mot Arbre ?

Mais rien n'y faisait, les spams continuaient. J'ai donc mené ma petite enquête et il s'avérait que les robots ne réussissaient pas du tout les captchas. En fait, KrISS blog avait juste un petit bug introduit quand j'avais changé le fait de ne plus demander le captcha après la preview s'il était correct.

J'ai donc remis le captcha avec l'alphabet ascii et j'ai viré honeypot pour faire quelques tests. Depuis plus de spam !

En fait, dans la majorité des cas, les robots sont vraiment simples à détecter. J'ai un textarea invisible appelé message et ils le remplissent tous.

Quand j'aurais un peu plus de temps, je supprimerai le catpcha et je testerai le contenu du textarea invisible. S'il contient quelque chose je redigirai vers le piège de honeypot pour essayer de contribuer à la détection de nouveaux robots spammeurs !

En faisant ça, je n'aurais pas besoin de demander à honeypot si l'ip correspond à un spammeur et en plus je contribuerai au projet. Tout ça sans captcha pour les vrais gens.

J'ai hâte de voir ce que ça va donner !

Si vous voulez plus d'infos sur le project honeypot :
http://www.sebsauvage.net/rhaa/index.php?2011/06/27/13/17/04-project-honeypot-une-alternative-a-akismet
http://sebsauvage.net/rhaa/index.php?2011/08/04/09/31/40-revue-de-logs-de-project-honeypot
http://sebsauvage.net/rhaa/index.php?2011/08/01/07/13/04-retour-sur-project-honeypot

Comments

1 - @ - le hollandais volant

Les spam arrivent souvent par vagues, sur un article précis.
J’ai la même chose sur Blogotext (sur lequel je n’active plus HoneyPot, au passage) : de vieux articles qui reçoivent 4 ou 5 spams à la suite.

Mon anti-spam a été plutôt efficace pour le moment (rapport de spam/commentaires faible : <1%), mais je met plusieurs méthodes :
– somme à calculer
– champ caché en CSS

Je pense que je vais aussi utiliser des noms de variables bidons, pour les "names" des champs : au lieu de email/url je met pomme/orange ou quelque chose comme ça, ça devrait aider.

Après il y reste des humains qui postent et font leurs pub, ce qui est assez chiant parfois…

Bonne chance en tout cas, pour trouver une méthode efficace…

2 - @ - V!nc3r

Héhé, en effet il m'a l'air bien plus lisible ce nouveau captcha ;)

3 - @ - cyberic

Pas con du tout le textarea invisible!!
c'est une super technique!

4 - @ - Tontof

@le hollandais volant : Moi je me demande si les captchas sont plus efficaces que les champs cachés (ce que je vais essayer d'étudier).

@V!nc3r : Cool ^^

@cyberic : Il y a plein de méthodes, c'est sur honeypot que j'ai découvert ces pratiques. Je ne retrouve pas la page d'exemple. Il y avait aussi des exemples pour les adresses mail.

5 - @ - Gilles

Ce qui est bien avec Honeypot (et d'autres genre StopSpamForum), c'est que ça existe en plugin sur beaucoup de moteurs de blog (WP chez moi) et que ça marche bien.
Enfin relativement bien.

Stop Spammer Registrations has prevented 1383 spammers from registering or leaving comments.

6 - @ - JeromeJ

"Moi je me demande si les captchas sont plus efficaces que les champs cachés (ce que je vais essayer d'étudier)." - Tontof

Ça va dépendre de si le bot spammeur est spécifique ou générique.

Si un spammeur remarque que son bot ne passe plus, soit il abandonne soit il adapte son bot et dans ce cas là le captcha serait sûrement plus dur à craquer que d'outrepasser le textarea invisible si besoin.

Mais j'avoue que ça reste pas bête comme idée.

7 - @ - Tontof

@JeromeJ : Oui c'est pour ça que je vais essayer de mettre en place ce système. Parce que je pense qu'il y a majoritairement des bots génériques et si quelqu'un veut faire un bot spécifique, je ne pense pas qu'un simple catpcha suffise :-)

À suivre
New comment







 _    __                 
| \  /  \ |      /  |  | 
|  | |  | |     /   \__/ 
|  | |  | |    /_|_    | 
|_/  \__/ |___   |  \__/