protection antiSpam pour formulaire

Y a des tarés qui floodent mes formulaires de contact pour mettre dedans des
pubs de vente de viagra. Je soupçonne des robots chargés de faire cela.

Sans compter le fait que faut vraiment être malade pour faire des trucs
pareils et croire que balancer 20 posts par jours sur mes sites me fera
aller acheter des pilules bleues,

Ce n'est pas pour toi, développeur de la page, qu'ils le font. Si jamais
ton formulaire permet de positionner au moins l'un des champs d'entête
(From:, To:, Reply-To:, Subject:, etc.) et que tu n'as pas interdit dans
ton script PHP les caractères de fin de ligne dans ces champs, alors les
spammeurs peuvent s'en servir pour spammer des milliers d'adresses en
une seule fois. Commence donc par vérifier ça, c'est le plus important.

je voudrais maintenant mettre une
vérification que le posteur est "humain" lorsqu'il soumet le formulaire.

Je pensais pour cela mettre en oeuvre une solution de code ou de chaîne de
caractère à recopier comme on en voit sur de plus en plus de site.

C'est une mauvaise idée. Il n'y a pas de captcha idéal, et les robots
peuvent en général s'en sortir mieux que les malvoyants (pour ceux sous
forme d'image) ou que les gens peu instruits (pour ceux basés sur une
question).

Quelqu'un a t il [...] Quelque chose de simple à intégrer, et de
pas trop rebutant. Le but est de s'assurer que le formulaire n'est pas
soumis par un robot, pas de demander à l'utilisateur de passer un test de QI
pour envoyer son formulaire....

Voici une idée qui devrait répondre à ton besoin : ajouter à ton
formulaire deux cases à cocher (checkbox), la première étant visible et
devant être cochée (un truc du genre « je certifie que ces informations
sont exactes »), la seconde étant masquée (display : none) et ne devant
surtout *pas* être cochée.

À la réception, si le 2e checkbox est coché, c'est que tu as affaire à
un robot et tu peux jeter immédiatement. Sinon, si la première n'est pas
cochée, tu reproposes le formulaire à l'utilisateur (prérempli bien sûr)
avec un message demandant de cocher la case.

Cordialement,

.... floodent mes formulaires ....
....les spammeurs peuvent s'en servir pour spammer des

milliers d'adresses en une seule fois. .......

Mes formulaires ne génèrent pas d'emails automatiques à des adresse emails
renseignées dans ceux ci.

Mais effectivement, ce point est à prendre en compte pour les cas où cela
serait. C'est vicieux, mais tu as raison, ca pourrait marcher dans certains
cas.

Je pensais pour cela mettre en oeuvre une solution de code ou de chaîne
de
caractère à recopier comme on en voit sur de plus en plus de site.
Voici une idée qui devrait répondre à ton besoin : Checkbox

Il y a une idée incontestable. Meme si il suffit d'analyser humainement la
page une seule fois pour faire ensuite un moteur qui marche toutes les fois.
Je vais y réfléchir (j'aime bien laisser une idée germer quelques jours dans
ma tete avantde me ruer dessus). C'est vrai que pour les mal voyants et les
aveugles, ce système tue le web. Saletés de spammeurs....

Et les autres, comment font ils ? Certains ont ils déjà mis des "captcha" ou
des système equivalent ?

@++

Stef

aller acheter des pilules bleues, je voudrais maintenant mettre une
vérification que le posteur est "humain" lorsqu'il soumet le formulaire.

cad un captcha : http://fr.wikipedia.org/wiki/Captcha

Je pensais pour cela mettre en oeuvre une solution de code ou de chaîne de
caractère à recopier comme on en voit sur de plus en plus de site.

un petit stock là :

http://fr.wikipedia.org/wiki/Captcha#PHP

--
FG

un petit stock là :

http://fr.wikipedia.org/wiki/Captcha#PHP

Allons voir un peu plus loin :
http://fr.wikipedia.org/wiki/Captcha#Casseurs_de_Captcha

J'ai trouvé particulièrement amusante la méthode consistant à faire
casser les Captcha par des amateurs de sites pornographiques :
http://www.boingboing.net/2004/01/27/solving_and_creating.html

Bref, tant qu'il y aura des voyants amateurs de sites pornos, les
captchas risquent surtout d'embêter les aveugles, bien plus qu'ils
n'embêteront les spammeurs...

.... floodent mes formulaires ....
....les spammeurs peuvent s'en servir pour spammer des

milliers d'adresses en une seule fois. .......

Mes formulaires ne génèrent pas d'emails automatiques à des adresse emails
renseignées dans ceux ci.

Attention, je dis bien qu'il ne suffit pas d'empêcher l'utilisateur
de remplir les champs To:, Cc: et Bcc: pour interdire le spam à des
milliers d'adresses. Il faut lui interdire *tous* les champs d'entêtes,
ou au moins l'empêcher d'y mettre des sauts de ligne. Cela inclut par
exemple les champs suivants :
- From:
- Date:
- Message-ID:
- Reply-To:
- Organization:
- Subject:
- Content-Type:
- ... et ainsi de suite.

Tu es bien sûr que l'utilisateur ne peut intervenir sur *absolument*
*aucun* champ d'entête ?

Mais effectivement, ce point est à prendre en compte pour les cas où cela
serait. C'est vicieux, mais tu as raison, ca pourrait marcher dans certains
cas.

Vérifie. Vérifie bien. Ou alors envoie-moi le script en privé, mon
adresse est valide.

Il y a une idée incontestable. Meme si il suffit d'analyser humainement la
page une seule fois pour faire ensuite un moteur qui marche toutes les fois.
Je vais y réfléchir (j'aime bien laisser une idée germer quelques jours dans
ma tete avantde me ruer dessus). C'est vrai que pour les mal voyants et les
aveugles, ce système tue le web. Saletés de spammeurs....

Si tu veux compliquer un peu le truc, tu rajoutes une petite dizaine de
checkboxes, avec des noms aléatoires, toutes sauf une étant invisibles,
et certaines parmi les non visibles étant déjà remplies. Bien entendu
l'ordre d'inclusion sera aléatoire aussi. Mais bon, c'est peut-être déjà
trop compliqué pour ta page.

Et les autres, comment font ils ? Certains ont ils déjà mis des "captcha" ou
des système equivalent ?

Je passe.

On 2007-06-05, Francois Girault <fgiraultNOSPAM@gmail.com.invalid> wrote:

cad un captcha : http://fr.wikipedia.org/wiki/Captcha

un petit stock là :

http://fr.wikipedia.org/wiki/Captcha#PHP

Et après la lecture de la presse people, allons voir
autre chose:

http://sam.zoy.org/pwntcha/

C'est pour quand Wazzle en php5 ?-)

--
New from Bastard Industries: icmpcached - for when you don't want to
wait up to 100ms for your echo replies. icmpcached will ping all the
hosts on the Internet and keep the results in a handy hash table so
you can ping quickly and efficently. Now with icmpswapd integration!

Le 05 Jun 2007 22:49:03 GMT, Olivier Miakinen <om+news@miakinen.net>
écrivait dans fr.comp.lang.php:

un petit stock là :

http://fr.wikipedia.org/wiki/Captcha#PHP

Allons voir un peu plus loin :
http://fr.wikipedia.org/wiki/Captcha#Casseurs_de_Captcha

J'ai trouvé particulièrement amusante la méthode consistant à faire
casser les Captcha par des amateurs de sites pornographiques :
http://www.boingboing.net/2004/01/27/solving_and_creating.html

Bref, tant qu'il y aura des voyants amateurs de sites pornos, les
captchas risquent surtout d'embêter les aveugles, bien plus qu'ils
n'embêteront les spammeurs...

Mais ici, on s'attaque à un site unique (yahoo par exemple) pour
créer des comptes valides par millier. On n'utiliserait pas la
même méthode pour 1000 comptes avec du code différent dans chacun.

Pour ce qui est des aveugles et des captchas, ne peut-on pas dire
qu'il s'agit en général d'un besoin peu fréquent puisqu'on tombe
rarement sur ces captchas, sauf certains sites à pub qui veulent
s'assurer qu'il y a un humain en permanence.

Je pensais que la méthode la plus sûre était d'avoir un petit
script en javascript qui rend le lien fonctionnel si on place la
souris sur le lien (mouseover).


Denis

Olivier Miakinen - <4665e18f@neottia.net> :

http://fr.wikipedia.org/wiki/Captcha#PHP
Allons voir un peu plus loin :

http://fr.wikipedia.org/wiki/Captcha#Casseurs_de_Captcha
J'ai trouvé particulièrement amusante la méthode consistant à faire
casser les Captcha par des amateurs de sites pornographiques :
http://www.boingboing.net/2004/01/27/solving_and_creating.html
Bref, tant qu'il y aura des voyants amateurs de sites pornos, les
captchas risquent surtout d'embêter les aveugles, bien plus qu'ils
n'embêteront les spammeurs...

Et les aveugles amateurs de sites pornos, alors?

Follow up positionné.

Bonjour

Y a des tarés qui floodent mes formulaires de contact pour mettre dedans des
pubs de vente de viagra. Je soupçonne des robots chargés de faire cela.

Non, sans blague ?-)

Sans compter le fait que faut vraiment être malade pour faire des trucs
pareils et croire que balancer 20 posts par jours sur mes sites me fera
aller acheter des pilules bleues,

A toi, non, non plus qu'a l'écrasante majorité des gens. Mais sur la
masse, il suffit d'un infime pourcentage pour que ça rapporte.

je voudrais maintenant mettre une
vérification que le posteur est "humain" lorsqu'il soumet le formulaire.

Je pensais pour cela mettre en oeuvre une solution de code ou de chaîne de
caractère à recopier comme on en voit sur de plus en plus de site.

Un captcha, quoi...

Quelqu'un a t il une solution particulière qu'il aurait testée et pour
laquelle il aurait été satisfait ? Quelque chose de simple à intégrer, et de
pas trop rebutant.

J'ai récemment porté pour spip (pas encore complètement hélas) un plugin
dotclear qui fait ça, et que tu peux trouver ici:
http://www.atelierphp5.com/un-captcha-accessible.html

Sinon, il y a aussi la tactique spip, qui est d'avoir un champ (input
type=text) présenté comme important mais caché par la feuille de style.
Si ce champ est rempli, tu peux être sûr que c'est par un robot...

Mes deux centimes...

slambert - <46655c11$0$16071$426a74cc@news.free.fr> :

Quelqu'un a t il une solution particulière qu'il aurait testée et pour
laquelle il aurait été satisfait ? Quelque chose de simple à intégrer, et
de pas trop rebutant. Le but est de s'assurer que le formulaire n'est pas
soumis par un robot, pas de demander à l'utilisateur de passer un test de
QI pour envoyer son formulaire....

En général, les "robots" n'ont pas (encore) d'interpréteur Javascript.
Si tu faisait un truc Javascript, ça irai peut etre...

Folow up