Vous vous souvenez, je vous ai dit pour l'anniversaire de tontof.net que je n'avais eu qu'un seul spam. Je ne sais pas si c'est le hasard du calendrier, mais depuis ce jour ça n'a pas arrêté. Ils sont principalement localisés sur 2 articles :
- http://tontof.net/?2012/12/21/21/12/00-la-fin-du-monde-avec-giedre-en-tete
- http://tontof.net/?2013/03/26/18/05/53-quelques-liens-inutiles-pour-passer-le-temps-37
Pour lutter contre ça, j'ai tout d'abord ajouté honeypot grâce à la bibliothèque de Sebsauvage.
Le résultat s'est vite fait ressentir :
En 9 jours, 617 BLOCKED 8-D (Heureusement tous ne réussissaient pas hein !)
Malheureusement, cela n'a pas suffit car les spams ont continué.
Comme mon captcha était simple et très classique, je l'ai changé. Je l'ai laissé simple mais moins classique. (Ça devrait faire plaisir à V!nc3r parce que c'est un peu plus lisible ^^)
Seulement voilà, les spams ont continué. Je me suis dit que les catpchas avec les écritures ascii c'était peut être trop facile à pirater alors j'ai créé des questions du style : Quelle est la première lettre du mot Arbre ?
Mais rien n'y faisait, les spams continuaient. J'ai donc mené ma petite enquête et il s'avérait que les robots ne réussissaient pas du tout les captchas. En fait, KrISS blog avait juste un petit bug introduit quand j'avais changé le fait de ne plus demander le captcha après la preview s'il était correct.
J'ai donc remis le captcha avec l'alphabet ascii et j'ai viré honeypot pour faire quelques tests. Depuis plus de spam !
En fait, dans la majorité des cas, les robots sont vraiment simples à détecter. J'ai un textarea invisible appelé message et ils le remplissent tous.
Quand j'aurais un peu plus de temps, je supprimerai le catpcha et je testerai le contenu du textarea invisible. S'il contient quelque chose je redigirai vers le piège de honeypot pour essayer de contribuer à la détection de nouveaux robots spammeurs !
En faisant ça, je n'aurais pas besoin de demander à honeypot si l'ip correspond à un spammeur et en plus je contribuerai au projet. Tout ça sans captcha pour les vrais gens.
J'ai hâte de voir ce que ça va donner !
Si vous voulez plus d'infos sur le project honeypot :
http://www.sebsauvage.net/rhaa/index.php?2011/06/27/13/17/04-project-honeypot-une-alternative-a-akismet
http://sebsauvage.net/rhaa/index.php?2011/08/04/09/31/40-revue-de-logs-de-project-honeypot
http://sebsauvage.net/rhaa/index.php?2011/08/01/07/13/04-retour-sur-project-honeypot
Comments
1 - @ - le hollandais volant
J’ai la même chose sur Blogotext (sur lequel je n’active plus HoneyPot, au passage) : de vieux articles qui reçoivent 4 ou 5 spams à la suite.
Mon anti-spam a été plutôt efficace pour le moment (rapport de spam/commentaires faible : <1%), mais je met plusieurs méthodes :
– somme à calculer
– champ caché en CSS
Je pense que je vais aussi utiliser des noms de variables bidons, pour les "names" des champs : au lieu de email/url je met pomme/orange ou quelque chose comme ça, ça devrait aider.
Après il y reste des humains qui postent et font leurs pub, ce qui est assez chiant parfois…
Bonne chance en tout cas, pour trouver une méthode efficace…
dimanche 05 mai 2013 - 19:08
2 - @ - V!nc3r
lundi 06 mai 2013 - 09:33
3 - @ - cyberic
c'est une super technique!
lundi 06 mai 2013 - 18:15
4 - @ - Tontof
@V!nc3r : Cool ^^
@cyberic : Il y a plein de méthodes, c'est sur honeypot que j'ai découvert ces pratiques. Je ne retrouve pas la page d'exemple. Il y avait aussi des exemples pour les adresses mail.
jeudi 09 mai 2013 - 19:57
5 - @ - Gilles
Enfin relativement bien.
mardi 14 mai 2013 - 11:27
6 - @ - JeromeJ
Ça va dépendre de si le bot spammeur est spécifique ou générique.
Si un spammeur remarque que son bot ne passe plus, soit il abandonne soit il adapte son bot et dans ce cas là le captcha serait sûrement plus dur à craquer que d'outrepasser le textarea invisible si besoin.
Mais j'avoue que ça reste pas bête comme idée.
vendredi 24 mai 2013 - 10:28
7 - @ - Tontof
À suivre
vendredi 24 mai 2013 - 22:22