Lutter contre le spam dans dotclear

Par Ploum, samedi 29 avril 2006 à 13:40 :: hacker vaillant, spam :: #105 :: rss

Non content d'envahir notre boîte aux lettres, voilà que le spam devient de plus en plus présent sur les blogs, aux points de rendre ceux-ci inutilisables avec les commentaires activés.

enlarge your peniche

Si vous n'avez pas de blog, je ne peux que vous conseiller d'en créer un (avec DotClear par exemple) et d'y raconter des histoires que vous inventez ! Si vous avez un blog sous DotClear, nous allons voir ensemble comment solutionner le problème du spam.

Un bon système antispam

À mes yeux, un bon système anti-spam doit avant tout être invisible pour les utilisateurs. Je suis très flatté que des gens prennent la peine de commenter mon blog, je me refuse à leur imposer la moindre épreuve pour pouvoir poster un commentaire.

Il est donc hors de question de voir sur mon blog un système comme les captchas. Avec une vue parfaite (selon mes derniers tests médicaux) et un très bon écran, j'échoue à près du quart des sites avec des captchas ! Je n'ose donc pas imaginer ce que doivent endurer les visiteurs avec une déficience visuelle (même minime), un vieil écran ou surfant depuis un PDA par exemple.

captcha captcha
Exemples réels de captchas. Savez-vous les lire ?

Autre chose : je pense qu'il est possible, dans la plupart des cas, de distinguer à coup sûr un robot d'un visiteur normal (contrairement aux mails). Je ne suis donc pas pour l'utilisation d'un système probabiliste comme SpamClear, système qui oblige de temps en temps à aller vérifier si un commentaire légitime ne s'est pas glissé dans le spam.

Désactiver à 100% les spams dans les trackbacks

Un trackback est un signal envoyé par un site sur votre blog pour dire "Eho ! Je parle de ce billet !". Le trackback comporte donc un lien vers le site qui parle de votre billet. Les spams eux sont envoyés par des robots et comportent un lien vers un site de vente de médicaments.

Il suffit donc de vérifier si le site qui a envoyé le trackback est le même que celui dont l'adresse est décrite dans le trackback. Un spammeur ne peut pas se permettre cela car il pourrait être facilement retrouvé et attaqué en justice. Ils utilisent donc des robots un peu partout sur le net pour envoyer son trackback, pas le site décrit lui-même. Cette idée a été proposée par Digimag et fonctionne à 100% sous DotClear 1.2.3.

Dans le fichier tb.php de votre installation dotclear, identifiez la ligne

 require dirname(__FILE__).$app_path.'/inc/prepend.php';

(aux alentours de la ligne 25)

Juste après, rajoutez le code suivant :

function ipCheck()
{
  $siteInfo = @parse_url($_REQUEST['url']);
  if (!$siteInfo)
      return false;

  $ip = gethostbynamel($siteInfo['host']);
  if ($ip && in_array($_SERVER['REMOTE_ADDR'],$ip))
      return true;
  else
      return false;
 }

Ensuite, trouvez le else aux alentours de la ligne 124. Il ressemble à :

}
   else
   {
       $url = $_REQUEST['url'];

Dans la ligne juste avant le else (entre le symbole "}" et le "else"), insérez :

  elseif (!ipCheck())
  {
     $content =
     '<error>1</error>'."\n".
     '<message>The URL of the post and the IP from the trackback don\'t match !</message>';
  }

Et voilà ! Plus de trackbacks spam. Les trackbacks légitimes eux passeront sans problème.
UPDATE : il semblerait que ce faisant vous bloquez aussi malheureusement quelques trackbacks légitimes de blogs chez certains hébergeurs. Dans mon cas personnel, les personnes concernées peuvent continuer à faire un trackback en utilisant tb_nospam.php à la place de tb.php.

UPDATE 2 : Sacha a finalement réussi à affiner et améliorer sa solution

Désactiver 90% des spams dans les commentaires

L'idée de base que j'ai vu sur un site est le suivant : mettre dans le formulaire des commentaires un champ vide avec la marque : "laissez ce champ vide pour poster un commentaire". Il y a fort à parier que la majorité des robots va remplir ce champ par une adresse internet ou un nom quelconque. Jérôme Combaz a découvert que les robots spammers sont tellement bête qu'on peut appliquer ce système en mettant ce champ "magique" en commentaire dans le code. Vos visiteurs ne verront aucune différence mais les robots, eux, rempliront le champ.

Mise en oeuvre :
Dans le fichier /themes/votredossiertheme/form.php, ("votredossiertheme" étant généralement "default") ajoutez cette ligne :

<!-- <input name="pauvgars" value="vatecoucher" /> -->

juste avant "</fieldset>" (il y'en a en fait deux. Vous pouvez rajouter la ligne aux deux, ça ne coûte rien) .

Et dans /layout/prepend.php, chercher la ligne contenant :

if ($blog->addComment($post_id,$c_nom,$c_mail,$c_site,

et transformez-la en :

if (isset($_POST['pauvgars']) ||
    $blog->addComment($post_id,$c_nom,$c_mail,$c_site,

Voilà ! Si les spammers commencent à comprendre ce système, on cachera le champ magique dans la CSS.

Et pour ce qui passe encore...

Je vous conseille d'installer le plugin Spamplemousse pour dotclear qui fait du filtre sur les mots clés. Au début, j'ai du supprimé pas mal de mots clés qui induisaient des faux positifs. Par contre, je vous conseille fortement de rajouter le mot clé "a href".

Mais bon, spamplemousse est-il encore nécessaire ?

UPDATE : ces techniques ne sont malheureusement pas efficace contre une nouvelle forme de spam ne mettant que des messages appropriés genre : "thanks" ou "great, I'm using Firefox".
REUPDATE : J'explique ici comment faire un faux champ "site" dans son blog. Cela m'a permis de n'avoir plus que un ou deux spams par semaine, tous détectés par spamplemousse.

- Send to friend -

Trackbacks

1. Le samedi 29 avril 2006 à 18:37, de Le blog de Nicosmos

Spam, spam, spam ... Plus spam ?!

Je reçoit des dizaines et des dizaines et des dizaines de commentaires et de rétroliens sur ce blog, qui ne sont que du spam. Et même avec Spamplemousse, je n'arrivait à rien. Je viens de mettre en place une méthode décrite par Ploum ...

2. Le jeudi 4 mai 2006 à 21:33, de Sacha

Anti-Spam pour DotClear

Une solution anti-spam pour les rétroliens, qui vérifie l'identité du serveur qui effectue le rétrolien avec l'identité du serveur indiqué dans le lien du trackback.

3. Le lundi 8 mai 2006 à 17:22, de Archiblog

Spamtimeout, adieu au spam des trackbacks Dotclear

Une solution efficace, simple, légère et transparente à tester...

4. Le lundi 8 mai 2006 à 22:37, de BlogZiNet

Spam de commentaires et de trackbacks sous Dotclear

J'ai depuis longtemps installé Spamplemousse (aussi sur MozillaZine-fr Revue). Spamplemousse est un plugin pour le gestionnaire de blog DotClear qui permet de lutter contre le spam de commentaires et de trackbacks (rétroliens) en mettant en quarantaine...

5. Le mardi 9 mai 2006 à 22:41, de Empyrée

Le spam — ce n’est toujours pas possible

Suite des réflexions sur la prévention du spam. Il faut encore que je m’en assure, mais je crois que la Créature-entre-la-Chaise-et-le-Clavier a encore frappé pour ce qui est de Spamplemousse. Spam Clear, c’est bon, mangez-en ! Sauf...

6. Le lundi 5 juin 2006 à 16:08, de Mumbly's World

Spam, blog et dotclear

Les spams envahissent de plus en plus nos blogs. Si, si !!! A tel point que les commentaires sont devenus risqués et les trackbacks hasardeux ... Ploum nous fait part de son expérience, associée à celle de ses lecteurs pour nous aider un peu à...

7. Le mercredi 7 juin 2006 à 01:51, de Empyrée

IPcheck pour les rétroliens sur ce blog

Je viens de mettre en place la solution de Sacha pour les rétroliens frauduleux (un IPcheck évolué pour ce que j’en ai compris), solution trouvée de par chez Ploum (car je n’ai pas compris quelle est la version la plus à jour : celle de Sacha...

8. Le dimanche 25 juin 2006 à 17:11, de Felix's Blog

Lutte antispam

Bon, j'arrive quand meme a 2000 spams par semaine sur mon petit blog et ca en devient bien lassant. J'ai installé Spamplemousse il ya quelques semaines, ca en a bloqué quelques uns, mais c'est loin d'être le top. Aujourd'hui j'ai donc testé

9. Le mardi 11 juillet 2006 à 09:59, de Les Doigts dans la Crise

Spam Fighter...

je suis revenu à la méthode de Ploum... plus de Spam Timeout pour moi......

10. Le vendredi 25 août 2006 à 13:30, de Madjar tout seul

Update et anti-spam

Voila, une petite mise à jour de dotclear, et l'installation de quelques petits trucs pour empecher de me faire spammer. Ça m'évitera de devoir supprimer les trackballs foireux qui commençaient à devenir de plus en plus nombreux ! Je laisse...

11. Le dimanche 24 septembre 2006 à 13:02, de Un blogue de broderie, cClaire la brodeuse ;)

Réouverture des trackbacks...

Depuis plusieurs mois les trackbacks étaient désactivés sur ce site en raison de cette éternelle plaie qu'est le spam ! Or il existe visiblement des solutions assez simples pour limiter un gros pourcentage de ce spam. Reste à vérifier...

12. Le mardi 12 décembre 2006 à 17:03, de wEStayFocused et moi

Marre de vous faire spammer vos billets

Le principe est simple, un robot, par définition est con. Hem... oui, bon, vous le saviez déjà. Car en effet, le principe de fonctionnement de ces spammeurs, est de saisir un information qui paraît avoir été saisie par un humain dans tous les champs de...

13. Le dimanche 15 avril 2007 à 18:26, de Blog de Florent Bautista

Captcha Anti-Spam

De plus en plus de commentaires étaient écrits par des robots, pour faire de la publicité de certains sites pas très recommendables ici. Ainsi, j'ai mis en place un captcha anti-spam sur les commentaires. Un captcha c'est quoi ? C'est

14. Le dimanche 15 avril 2007 à 18:27, de Blog de Florent Bautista

Saleté de spam ...

Je viens de faire le ménage dans les commentaires et trackbacks, raz le bol du spam ... Spamplemousse n'est pas si puissant que ça. Mais c'est vrai que je n'ai pas trop le temps de lui apprendre des jolis mots interdits ;-)...

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le samedi 29 avril 2006 à 14:20, par azeus :: site

Oh merci ploum =) je suis envahis de spam de TB au point de les désactivés... Plus maintenant ^^

2. Le samedi 29 avril 2006 à 15:42, par Sacha :: site

Salut Ploum,

Je te conseille de changer le lien vers le topic discutant à propos du correctif pour les trackbacks. « Officielement » c'est plutôt ici :
www.dotclear.net/forum/vi...
(l'ancien sujet étant dans une catégorie inapropriée)

Pour les commentaires, c'est une très bonne idée. Dans ta condition if, je te conseille de remplacer «or» par «||». En effet, «or» a une priorité plus faible que «||». Si dans la même condition, on ajoute un opérateur de comparaison, celui-ci aura la priorité sur «or» ce qui changera le comportement de la condition.
Deuxième remarque : inutile de mettre type="hidden" si le code est déjà désactivé. Les spammeurs repèrent facilement les <input type="hidden" />.

En ésperant d'avoir apporté des remarques utiles.

3. Le samedi 29 avril 2006 à 15:50, par chat-loupe :: site

Bien vu, le coup du champs caché dans le formulaire !

Une question PHP, ça fait longtemps que je n'ai pas pratiqué, mais le code que tu proposes me paraît bizarre : on ne peut pas faire un "return une_expression" ? C'est les "if test return true else return false" que je trouve bizarres, non ?

4. Le samedi 29 avril 2006 à 16:00, par Ploum :: site

Sacha > merci pour les conseils, j'en ai tenu compte.

Chat-loupe > ipCheck renvoie un bouléen. Il est donc logique de finir par un return true ou un return false non ? Pourquoi se casser la tête à retourner autre chose ?

5. Le samedi 29 avril 2006 à 16:14, par chat-loupe :: site

Ploum > ce que je voulais demander, je n'étais pas clair, c'est si on ne pouvait pas mettre directement un :
return ($ip && in_array($_SERVER['REMOTE_ADDR'],$ip))
au lieu d'avoir ce if-else un peu vide. En tout cas, c'est comme ça que j'aurais tendance à l'écrire en C ou Java...

6. Le samedi 29 avril 2006 à 16:19, par Sacha :: site

@chat-loupe : sa façon d'écrire la condition if est très astucieuse. Peut-être pas évident du premier coup.

Considerons ce code simplifié :
if (A and B())
Dans ce cas, on vérifie la variable A. Si elle vaut VRAI, on vérifie également la fonction B(). Si A vaut FAUX, la fonction B() n'est pas exécutée.

De même, avec le code :
if (A or B())
Si A est VRAI, B() n'est pas exécuté, puisqu'une seule réponse « VRAI » suffit.

Dans notre cas, on a :
if (isset($_POST['pauvgars']) || $blog->addComment([...])
Donc si la variable "pauvgars" est définie, la fonction addComment() n'est plus exécutée, c'est à dire que le commentaire n'est pas posté. Mais DotClear indique que le message a été posté.

@Ploum : Le code le plus sûr serait plutôt

Là, il est identique à celui de Dotclear, sauf qu'il est caché par .

@tout le monde :
Cela dit, je pense que cette technique n'est que temporaire. Ensuite, il faudrait utiliser le CSS... Mais là encore, ça n'a aucune garantie. Ça me ressemble à un vieux sujet qui date d'un an :
www.creation-du-web.com/d...
Grosso modo, je suis en train de me venter en expliquant comment je fais pour obtenir le nombre de messages d'un forum.... Le créateur de ce forum joue avec moi, en m'empêchant de déterminer ce nombre... La course dure assez longtemps, ça va jusqu'à l'affichage du nombre de messages via une image... Mais je contourne même cet obstacle.

Il y a des meilleures méthodes pour brouiller les pistes, sans compliquer la vie aux utilisateurs. Pour l'instant ce n'est qu'une idée, je me la garde pour moi.

7. Le samedi 29 avril 2006 à 16:22, par Sacha :: site

@chat-loupe : Excuse, je t'ai mal compris.
Efectivement, c'est mieux d'écrire
return ($ip && in_array($_SERVER['REMOTE_ADDR'],$ip));
Merci à toi

8. Le samedi 29 avril 2006 à 16:24, par Ploum :: site

chat-loupe > a oki, je comprends. En fait, c'est juste pour être plus clair. Je trouve ça plus lisible personnellement.

Mais bon, ça ne change vraiment pas grand chose...

9. Le samedi 29 avril 2006 à 16:43, par chat-loupe :: site

Oui, c'est plus une affaire de goût qu'autre chose

Sinon, Olivier a proposé un plugin dont j'ai bien aimé l'idée : le plugin pose une question simple du genre "combien font deux plus deux ?", censée séparer les robots des humains. Je n'ai pas l'URL sous la main...

10. Le samedi 29 avril 2006 à 16:44, par Sacha :: site

Eh bien, en état actuel des choses je ne peux pas faire de trackbacks vers Ploum.
« The URL of the post and the IP from the trackback don't match ! »
Avec un nom de domaine avec une IP dynamique, ça fonctionne, mais chez l'hébergeur 1und1, ce n'est pas le cas.

$_SERVER['REMOTE_ADDR'] renvoie 212.227.119.151 alors que mon site est 82.165.84.29. (domaine le-libre.be).

Affaire à suivre donc.

11. Le samedi 29 avril 2006 à 16:56, par Ploum :: site

Sacha > pourquoi le REMOTE_ADDR est-il mis à cette IP ? Que représente cette IP ? C'est très bizarre.

Chat-loupe > mouais, mais je n'aime pas demander qqch à un lecteur. Si par exemple il ne parle pas la langue ? Ou si il a une mauvaise orthographe ? Je me refuse d'imposer un test aux personnes qui désirent commenter ce blog.

Sinon, il semblerait que les spams en commentaires continuent de passer. Heureusement, le "a href" de spamplemousse les repère tous.

12. Le samedi 29 avril 2006 à 20:15, par CSCMEUH :: site

A propos des captchas, je te propose de lire les récommandations du W3C :
www.yoyodesign.org/doc/w3...

13. Le samedi 29 avril 2006 à 21:25, par eks

Ploum & Sacha> Le problème vient de la configuration d'1&1 :
- plusieurs sites sur la même ip (virtual hosting powa), donc au passage l'astuce pourra être contournée dans ce genre de cas via un bot lancé depuis la même adresse qu'un site "légitime"
- probablement des interfaces réseaux (donc des ip) différentes pour les connexions sortantes (celles empruntées par le script PHP du blog de Sacha pour faire le TB) et entrantes (utilisées pour visiter le site de Sacha), donc il se fera automatiquement éliminer par le filtre.

Une solution pourrait être la mise en place d'une whitelist de site (10 minutes à coder, mais requiert une demande de la part du trackballer) ou de domaine (mais porte entrouverte au spam).

14. Le samedi 29 avril 2006 à 23:14, par a3_nm :: site

Salut à tous,
la solution pour les trackbacks est intéressante, je pense la mettre à l'essai un de ces quatre. Pour ma part, j'ai mis en place des systèmes affreusement rudimentaires - mais je pense que, vu que je suis seul à les avoir mis en place, il faudrait qu'un spammeur s'intéresse spécifiquement à mon blog pour mettre au point un logiciel adéquat, ce qui ne risque pas d'arriver dans un futur proche ^^
Pour les commentaires, j'ai ajouté un champ au formulaire où il est demandé au visiteur d'entrer 42 (en texte, donc pas de problème d'accessibilité à part peut-être dans certains cas relativement rares). Peu contraignant pour le visiteur, et un robot de base ne saura pas suivre la consigne.
Pour les trackbacks, j'ai ajouté une suite de # à enlever dans l'URL affiché sur la page (http://######monsite.com). J'ai supprimé la balise meta - donc, pas de découverte automatique des URL à pinguer, mais je pense qu'il vaut mieux éviter d'y mettre une adresse qui n'est pas compréhensible par un robot. Enfin, parce que la plupart des robots avaient l'adresse à pinguer codée en dur, j'ai renommé la page tb.php en trackback.php et changé le code en conséquence.
Résultat, plus de spam pour le moment, mais un système un tout petit peu contraignant pour l'utilisateur.
De toute façon, en précaution supplémentaire, commentaires et trackbacks (il a fallu bidouiller le code) sont pour l'instant modérés à priori. Étant - je crois - responsable du contenu posté par mes visiteurs, je préfère le valider à la main.
Enfin bon, je reste partisan de la méthode : codez-le vous-même. Un système de question "Combien font 2+2" par un plugin ne durera sans doute pas longtemps : si tout le monde commence à s'en servir, les spammeurs adapteront leurs logiciels. Mais si chacun y va de sa petite méthode, je pense qu'ils auront un peu plus de mal...
Ceci étant dit, merci pour ce billet fort utile (sans filtre, ça devient très vite insupportable, ce spam, même pour un blog peu visité comme le mien).
@+
Antoine

15. Le samedi 29 avril 2006 à 23:50, par Vinch :: site

Merci pour toutes ces précisions, je teste cela le plus vite possible...

16. Le dimanche 30 avril 2006 à 00:02, par Monique :: site

Bonjour,

Que se passe-t-il ?
J'ai voulu faire un trackback depuis www.blog.webatou.be/index...
Mais j'ai cette erreur :
ploum.frimouvy.org/tb.php...
Erreur de trackback : The URL of the post and the IP from the trackback don't match !

C'est ton système qui me bloque ?

Amicalement,
Monique

17. Le dimanche 30 avril 2006 à 11:25, par Sacha :: site

@a3_nm : Bien sûr, si chacun refait le système de trackbacks à sa guise, il n'y aura plus de spam. Le problème, c'est que nous ne sommes pas tous des programmeurs en PHP.

@eks : C'est bien cela, le problème. Certains hébergeurs mettent en place des systèmes de sécurité, ce qui brise la compatibilité avec cette protection anti-spam des trackbacks. Je cherche toujours la solution, il y a des sujets intéressants sur le Web qui peuvent donner une piste.

@Monique : tu es dans le cas de figure expliqué par eks. Cela se produit avec certaines formules d'hébergement 1and1 et OVH.

Il est injuste d'exclure de nombreuses personnes qui se donnent la peine de faire un lien vers votre site, juste pour éviter ainsi le spam.

18. Le dimanche 30 avril 2006 à 11:48, par Omnisilver

Cette idée a été proposée par Digimag et fonctionnent à --> fonctionne

Merci pour l'info

19. Le dimanche 30 avril 2006 à 12:04, par Vinch :: site

J'ai le même problème que Monique !

J'ai le malheur d'être hébergé chez OVH apparemment (excellent hébergeur au demeurant).

Moi qui pensait avoir trouvé la solution ultime pour bloquer les spams, ce n'est pas encore pour cette fois ci.

Hop, je réinitialise tb.php !

20. Le lundi 1 mai 2006 à 14:00, par Laurent GUERBY :: site

J'ai mis en place les mêmes solutions qu'Antoine :

- ajouter NOSPAM al l'URL trackback RDF et a son affichage
- renommer tb.php en autre chose (invalider les bases existantes)
- ajout d'un question idiote (1+1=?) pour les commentaires (via Captcha, mais en laissant une seule question).

Pas super technologique, mais ca marche

21. Le lundi 1 mai 2006 à 16:14, par Ploum :: site

Pour les personnes comme Monique, j'ai mis en place un tb_nospam.php que vous pouvez utiliser pour faire un trackback.

Il s'agit du tb.php d'origine renommé. Je suis désolé de causer cette gêne.

22. Le lundi 1 mai 2006 à 17:16, par theClimber :: site

Merci ploum pour ces infos !!
Je venais de bloquer les trackbacks sur mon site avant le weekend à cause du spam, mais je crois que je vais plutot m'orienter vers ta façon de faire.
C'est triste à dire, mais on pourrais presque comparer cette situation à un combat entre les robots et les hommes :-P (bon d'accord, n'éxagerons rien :-))

23. Le mardi 2 mai 2006 à 20:42, par Monique :: site

Bonjour,

>Je suis désolé de causer cette gêne.

Pas de problème, Ploum.
Si c'est pour faire avancer la science et gagner le combat contre les spammeurs, à défaut d'être capable de programmer quoique ce soit, je suis heureuse de pouvoir servir de cobaye

Amicalement,
Monique

24. Le mercredi 3 mai 2006 à 13:55, par Philippe Worontzoff :: site

"Il suffit donc de vérifier si le site qui a envoyé le trackback est le même que celui dont l'adresse est décrite dans le trackback."

Quid de la personne qui à un site dont l'url est un frameset qui pointe vers sa page qui est hébergé par un hébergeur qui ne gère pas les noms de domaine ? Je sais, c'est pas propre, mais ça existe beaucoup. Et aussi, quid de la personne qui fait un trackback sur son blog mais qui décide de promouvoir un autre de ces site qui n'est pas hébergé par le même hébergeur et qui donc n'a pas la même adresse ip ? Enfin, quid du problème énoncé dans les commentaires des hébergeurs qui utilisent plusieurs IP dans leur réseau ?

Dans un cas comme dans l'autre, cette solution pose problème.

"Par contre, je vous conseille fortement de rajouter le mot clé "a href"."

Hèhè, bonne idée, quoi que, il y a encore des gens pour ne pas voir le : "Le code HTML dans le commentaire sera affiché comme du texte, les adresses internet seront converties automatiquement."... Mais bon, comme de toute façon aucune commentaire ou trackback n'est perdu avec spamplemousse, pourquoi pas.

"if (isset($_POST['pauvgars']) || $blog->addComment([...])
Donc si la variable "pauvgars" est définie, la fonction addComment() n'est plus exécutée, c'est à dire que le commentaire n'est pas posté. Mais DotClear indique que le message a été posté."

Ah, j'ai compris (je me posais justment la question), mais alors, non, je ne suis pas d'accord, je ne veux pas prendre le risque de laisser croire à quelqu'un qu'il a écrit un commentaire ou un trackback alors qu'il n'est pas écrit. Je suis plutôt pour le message que Spamplemousse affiche quand un commentaire ou un trackback est suspecté d'être un spam. Néanmoins, l'idée est très bonne, il faudrait juste trouver un meilleurs moyen de l'utiliser.

"Sinon, Olivier a proposé un plugin dont j'ai bien aimé l'idée : le plugin pose une question simple du genre "combien font deux plus deux ?", censée séparer les robots des humains. Je n'ai pas l'URL sous la main..."

Quel plugin ?

"Enfin, parce que la plupart des robots avaient l'adresse à pinguer codée en dur, j'ai renommé la page tb.php en trackback.php et changé le code en conséquence.
Résultat, plus de spam pour le moment, mais un système un tout petit peu contraignant pour l'utilisateur."

Très bonne idée, surtout qu'on peut chacun donner le nom qu'on veut à ce fichier (j'ai déjà ma petite idée sur celui que je vais utilisé).

"De toute façon, en précaution supplémentaire, commentaires et trackbacks (il a fallu bidouiller le code) sont pour l'instant modérés à priori. Étant - je crois - responsable du contenu posté par mes visiteurs, je préfère le valider à la main."

En tant que visiteur de blog, ça ne me plait pas dutout : j'écris mon commentaire, puis je vois qu'il est en attente de validation par l'auteur du blog alors, si le blog en question n'est pas dans mes fils de syndication, je me dis qu'il faudrait vérifier si mon commentaire est effectivement passé ou pas et je n'ai pas envie de faire cet effort qui n'a pas lieux d'être, sans compter que je me dis : "pfff, il y a une chance sur deux pour qu'il n'accepte que les commentaire qui le carresse dans le sens du poil", dès lors, je n'ai plus envie de commenter sur le blog en question, et finalement, j'en arrive à ne plus avoir envie de lire le blog en question. Par ailleurs, on est déjà assez contrôlé partout, ça ajoute à ce sentiment de manque de liberté que de savoir que son commentaire va être modéré.

25. Le mercredi 3 mai 2006 à 13:57, par Philippe Worontzoff :: site

"Votre commentaire a été envoyé. Il sera en ligne bientôt."

C'est démotivant, j'aimerais qu'on me fasse confiance et que mes commentaires soit publié directement. Dans quel monde vivons nous ? Tout du moins dans un monde liberticide...

26. Le mercredi 3 mai 2006 à 13:59, par Philippe Worontzoff :: site

M'enfin, pourquoi mon commentaire précédant passe et pas mon premier commentaire auquel j'ai eu ce message : "Votre commentaire a été envoyé. Il sera en ligne bientôt.". J'espère que mon commentaire n'a pas disparu, parceque là, je ne serais vraiment pas contant dutout étant donné le temps que j'ai passé à l'écrire ! Voilà ce qui arrive quand on bidouille des trucs où on fait croire que le commentaire est passé alors qu'il ne l'est pas !
(Je suis pas contant, mais ça va passé).

27. Le mercredi 3 mai 2006 à 19:26, par Ploum :: site

Philippe > Dans ton premier message, tu utilisais "a href" qui est, comme je l'ai dit, intercepté par spamplemousse.

Actuellement, tu es le second faux positifs du à cette méthode après moi-même. C'est ce qu'on appelle du meta-spamming : on n'est pas du spam mais comme on en discute, on se fait répérer.

Si qqn met dans les commentaires de modérer tous les commentaires avec le mot "viagra", il sera modéré, citant le mot "viagra"

28. Le mercredi 3 mai 2006 à 19:52, par Matt :: site

Merci de m'avoir permis de me passer de la capture des chats.

29. Le jeudi 4 mai 2006 à 18:20, par Sacha :: site

Ploum,

Pourrais-tu m'aider un peu avec l'anglais? Comment écrirais-tu ce passage?

« Il semble que votre serveur est celui qui héberge le site indiqué dans le lien ne sont pas les mêmes. Merci de vérifier les points suivants :
* L'adresse indiquée n'est pas un lien vers une page de redirection.
* La page en question n'est pas imbriquée dans un cadre HTML. Dans ce cas, donnez l'adresse réelle.
* Votre serveur ne se cache pas derrière des proxys anonymes ou d'autres systèmes de redirection.
Je vous rappelle que vous ne pouvez faire de trackback que vers votre propre site.
Si vous pensez qu'il s'agit d'une erreur, merci de contacter l'administrateur du blog. »

Je crois que je suis dans l'incapacité de traduire correctement ce bout de texte. Tu peux reformuler les phrases pour que ça soit plus explicite.

Je te remercie d'avance, enfin je pourrais donner une solution anti-spam pour les trackbacks.

30. Le vendredi 5 mai 2006 à 10:42, par Sacha :: site

@Philippe Воронцов
« Quid de la personne qui à un site dont l'url est un frameset qui pointe vers sa page qui est hébergé par un hébergeur qui ne gère pas les noms de domaine ? »

Il suffit de fournir la vraie adresse de la page, pas l'adresse d'une page qui l'imbrique. C'est d'ailleurs mieux pour les visiteurs, niveau accessibilité, mieux pour le positionnement sur les moteurs de recherche, et enfin c'est le comportement par défaut de DotClear.

« Et aussi, quid de la personne qui fait un trackback sur son blog mais qui décide de promouvoir un autre de ces site qui n'est pas hébergé par le même hébergeur et qui donc n'a pas la même adresse ip ? »

Dans ce cas ce n'est plus un rétrolien. Un rétrolien signifie « un lien en retour », « un échange de liens ». Promouvoir un site d'une telle façon n'est apprecié par personne. C'est enfin à l'administrateur du blog en question de décider s'il souhaite ou pas faire un rétrolien vers son site.

« Enfin, quid du problème énoncé dans les commentaires des hébergeurs qui utilisent plusieurs IP dans leur réseau ? »

Cela est à priori corrigé dans la dernière version du filtre. Il ne manque plus que les testeurs.

@Ploum : « Actuellement, tu es le second faux positifs du à cette méthode après moi-même. »
À mon sens Spam Clear est plus évolué. Il ne se base pas sur des mots-clés, mais il a l'avantage d'apprendre à reconnaître ce qui est du spam et ce qui ne l'est pas, en calculant les probabilités.

31. Le samedi 6 mai 2006 à 11:22, par Plam

Le gros problème ici est que le spam c'est les articles !!

32. Le samedi 6 mai 2006 à 12:09, par ploum :: site

Plam > Je crois que je peux t'aider. Rajoute dans ton fichier hosts :

ploum.frimouvy.org 127.0.0.1

Tu ne devrais plus avoir de problèmes.

33. Le samedi 6 mai 2006 à 18:40, par François :: site

Merci Ploum !

34. Le dimanche 7 mai 2006 à 09:57, par rémy de la Hoya :: site

WHAAA, je vais essayer !
j'ai du bloquer les commentaires sur mon site, c'est très énervant !
ps : je suis venu ici depuis le blazouf blog.

35. Le mardi 9 mai 2006 à 12:45, par Sacha :: site

D'ailleurs, si tu saisis l'IP de l'émetteur du Spam des commentaires dans ta barre d'adresses, ça te renvoie pas à un site avec un petit logo genre « En cas d'abus, envoyz ce message à x@xxx.ru »?

Car moi, je me rappelle avoir envoyé un message, j'ai eu une réponse en anglais où on m'a remercié et où on m'a promis de « faire la fouille parmis les clients ». Depuis, je n'ai plus jamais eu de spam dans les commentaires.

36. Le jeudi 1 juin 2006 à 22:14, par Janick :: site

franchement, Merci!

37. Le dimanche 4 juin 2006 à 17:49, par Black

Enlarge your penis ! :p

J'essaie tout ça dans les jours à venir (:

38. Le mercredi 7 juin 2006 à 01:54, par David Latapie :: site

Suite à une erreur, peux-tu supprimer le premier trackback Empyrée (pas le second) ? Merci.
(par ailleurs, une 'tite faute : "éffacé" -> "effacé", sans accent sur le premier e).

39. Le mardi 4 juillet 2006 à 16:11, par john doe

nice

40. Le mardi 25 juillet 2006 à 13:44, par kim :: site

Haha ! Un commentaire comme le ./39 a de fortes chances de passer en spam chez moi, et je ne reflechis dans ce cas pas du tout, je ne le remet pas en ligne

Ceci etant dit, pour les trackbacks, j'ai recemment pense a un truc. Un peu a l'instar des planet et consors... Specialise dans les trackbacks.
Voir l'idee un peu plus etoffee ici :
blog.ikym.info/index.php/...

Je ne sais pas ce que ca peut valoir, a part que pour ca, il faudrait developper des plugins specifiques pour dotclear et autres gestionnaires de blog. Il faudrait que ca soit central, mais avec possibilite d'ajout de serveurs (chose dont je n'ai pas parle sur mon billet initial).

Le principal souci je pense, c'est qu'en ne faisant que ca, jamais ca marcherait. Et donc je n'y crois pas trop. Enfin, c'est une idee parmi tant d'autres...

41. Le mardi 25 juillet 2006 à 15:06, par Ploum :: site

Kim > il est bizarre celui-là : posté vraisemblablement à la main et sans URL. J'en déduit que c'est pas vraiment du spam...

42. Le mardi 25 juillet 2006 à 15:14, par kim :: site

Personnellement je blacklist des mots comme :
nice
well done
updated
thanks
write up

Des mots tout simples, mais comme je n'ai pas de lecteurs, et donc a fortiori, encore moins anglais, et donc encore moins qui ecrivent en anglais, je n'ai pas de scrupules a supprimer des mots. J'en ai eu un peu plus pour des mots comme "firefox" que je n'ai finalement pas mis en blacklist.

43. Le mercredi 30 août 2006 à 00:16, par William

Bonjour,

Cela fait 2 jours que je tente de trouver une méthode de sécuriser les formulaires. À ce que je peux voir pour l'instant il n'y a pas de solution magique.

Une idée que je lance comme cela :

Il ne serait pas possible de demander à l'utilisateur des questions comme (évidements si ces items sont affichés) :
Quel est le numéro de la nouvelle?
Quel est le mot qui est inscrit en haut de la page à gauche?
Quels sont les 4 premières lettres du titre de la nouvelle?
(ces informations varient en fonction de la nouvelle)

La réponse stocké en session en MD5 puis après avoir envoyer le formulaire, la valeur de ce champ est comparer à celui dans la session

Pensez vous que ceci serait efficace?
ou bien les robots vont réussir à lire ceci?

Merci

44. Le dimanche 24 septembre 2006 à 13:49, par StyleLotußien :: site

Yeah ok et bien pas mal de code
faut avoir du courage pour le faire moi je dit

45. Le mardi 26 septembre 2006 à 12:47, par Meojifo :: site

ça a l'air de fonctionner apparement

46. Le mardi 26 septembre 2006 à 19:52, par StyleLotußien :: site

tu comptes mettre sa sur ton blog greg ?

47. Le mardi 3 octobre 2006 à 17:58, par Meojifo KamKam

vazy greg ca fra apprendre le trackback au stylelotubitadudule....

48. Le mercredi 20 décembre 2006 à 20:01, par Joe :: site

Trop mal aux yeux ces captchas, j'en avais jamais vu de pareils !

49. Le jeudi 28 décembre 2006 à 19:58, par Bogoris :: site

Pour les spams dans les commentaires, il y a un capcha accessible (genre combien font deux plus trois) intégré à Dotclear 2.

Pour les trackbacks, j'utilise Spam Time Out :
archiblog.stratic.fr/178-...

50. Le jeudi 18 janvier 2007 à 09:26, par Marcha

Une autre astuce complémentaire pour filtrer les robots
c'est le bête champ caché avec une entité html. par exemple
<input type='hidden' name='truc' value='@' />
Ensuite coté php on compare $_REQUEST['truc'] == '@';
c'est assez efficace

51. Le vendredi 19 janvier 2007 à 23:08, par Slachz

ouaip merci bien pour le plugin ça marche impec

52. Le mercredi 24 janvier 2007 à 12:23, par Fogg :: site

Bonjour
J'ai testé ton astuce.
J'éspère que ça va marcher
merci

53. Le dimanche 11 mars 2007 à 16:43, par Macak

REUPDATE : J'explique ici comment faire un faux champ "site" dans son blog. Cela m'a permis de n'avoir plus que un ou deux spams par semaine, tous détectés par spamplemousse.

==> Le lien est périmé.

54. Le mercredi 14 mars 2007 à 17:23, par Maxx :: site

... tout comme le lien vers le site d'un certain "Sacha":
""UPDATE 2 : Sacha a finalement réussi à affiner et améliorer sa solution""

le-libre.be/?2006/05/04/1...

55. Le samedi 19 mai 2007 à 16:49, par biou

Maxx> voir là :
sachives.xn--phnix-csa.ne...

56. Le lundi 28 mai 2007 à 14:37, par Nicolas Quenault :: site

A mort le spam...

57. Le mardi 7 août 2007 à 16:28, par Marjorie :: site

Bonjour!!!
Perso j'ai utilise Spamplemousse et ca marche plutot bien, je n'ai plus de problemes dans les commentaires et trackbacks des articles. Cependant, j'ai une galerie photo. Et la c'est la catastrophe... J'ai minimum 20 commentaires bidons/jour. Comment se fait-il que Spamplemousse ne marche pas sur ces commentaires la? Une idee pour m'en debarasser?
Merci!
Jo

Ajouter un commentaire

Poster un commentaire n'est pas une obligation. Rappelez-vous de tourner 7 fois votre clavier dans votre bouche avant de poster (oui, il m'a fallu des années de streching pour y arriver).

Si votre commentaire a été effacé, c'est sans doute pour une de ces raisons.

Les commentaires pour ce billet sont fermés.

Where is Ploum ?