Marek wrote:
> Mam problem ze spamem rozsyłanym poprzez formularz kontaktowy. Jakiś
> automat uwziął się nie wiem po co na fizyczne wypełnianie formularza i
> wysyłanie go. Chciałbym zabezpieczyć formularz przed takimi sytuacjami.

Ja blokuję wszystko co pasuje do wyrażenia regularnego
<a(\s+[^\s]+)*\s+href=|\[url[=\]] - większość spambotów umieszcza w
wiadomościach linki HTML/BBcode.

do góry

> [checkbox] zaznacz, aby potwierdzić wysłanie formularza

hehe - proste i sprytne :-)

Dzięki za pomysł :-)

do góry

> Dlaczego dupa jest przypisywana dwa razy? I po stronie serwera tylko dupy
> mam oczekiwać?

Dwa razy ? Tylko raz przecież. W formularzu jest porównanie a nie
przypisanie.

>Co jeśli jakiemuś użytkownikowi nie działa javascript? Cosik to jeszcze
>słabo przemyślane :>

Chyba jednak nie. Ta gałązka wątku mówi o tym jak zabezpieczyć się za pomocą
JS przed submitowaniem formularza przez automaty. No to pokazałem na szybko
jak to można zrobić. Jeśli formularz miałby zadziałać przy wyłączonym JS to
byłoby to równoznaczne z tym, że formularz nadal będzie submitowany przez
automaty. To tak jakbyś zamek od drzwi położył pod drzwiami na wycieraczce
zamiast go wmontować w te drzwi.

A tak na marginesie towyłączony JS ma chyba promil klientów albo i mniej.

do góry

Witaj :)

> Tak, JS (albo lepiej trick z polem ukrytym CSS) może wystarczyć.

Mógłbyś przybliżyć kwestię ukrytego pola? Jak miałoby to działać?

> Jeśli formularz nie jest używany do supertajnej korespondencji, to spróbuj
> Sblam! (http://sblam.com) -- jest niewidoczny dla użytkowników.

Hmmm... też ciekawe, nawet gdzieś już słyszałem o autorze ;-)
Jak filtr sprawuje się w sytuacji gdy formularz jest wypełniony z jednej
strony rozsądnie: czyli pole z np. numerem telefonu faktycznie go zawiera,
adres zwrotny też jest ok a w treści wiadomości znajdują się jakieś durne
zdania - zlepki wyrazów. Nie ma tam żadej viagry, kredytów itp. Taką mam
właśnie sytuację.

do góry

> Ja blokuję wszystko co pasuje do wyrażenia regularnego
> <a(\s+[^\s]+)*\s+href=|\[url[=\]] - większość spambotów umieszcza w
> wiadomościach linki HTML/BBcode.

A ja mam dziwny problem. Kilka razy dziennie wysyłane są wiadomości będące
przypadkowym zlepkiem angielskich słów. Nie ma tam żadnych linków. Wygląda
to tak jakby pijany informatyk stwierdził, że jest wrogiem formularzy i
postanowił wypowiedzieć im wojnę. Niczego nie reklamuje, nie sprzedaje
viagry, nie udziela kredytów.

do góry

On Wed, 05 Aug 2009 23:22:31 +0100, Marek <m...@s...interia.pl>
wrote:

> A ja mam dziwny problem. Kilka razy dziennie wysyłane są wiadomości
> będące przypadkowym zlepkiem angielskich słów. Nie ma tam żadnych
> linków. Wygląda to tak jakby pijany informatyk stwierdził, że jest
> wrogiem formularzy i postanowił wypowiedzieć im wojnę. Niczego nie
> reklamuje, nie sprzedaje viagry, nie udziela kredytów.

To jest test, czy przechodzą spamy.

--
http://pornel.net
this.author = new Geek("porneL");

do góry

On Wed, 05 Aug 2009 23:18:51 +0100, Marek <m...@s...interia.pl>
wrote:

> Witaj :)
>
>> Tak, JS (albo lepiej trick z polem ukrytym CSS) może wystarczyć.
>
> Mógłbyś przybliżyć kwestię ukrytego pola? Jak miałoby to działać?

<label style="display:none">nie wypełniaj <input name=url></label>

Na serwerze sprawdź, czy pole jest puste. Większość botów da się skusić na
wypełnienie pola (do ominięcia zabezpieczeń trzeba czytać CSS albo treść
etykiety, ale na szczęście jeszcze nikt się w to nie bawi). Użytkownicy
typowych przeglądarek nic nie zobaczą, użytkownicy bezCSSowych
przeglądarek będą mogli to pole ominąć.

> Jak filtr sprawuje się w sytuacji gdy formularz jest wypełniony z jednej
> strony rozsądnie: czyli pole z np. numerem telefonu faktycznie go
> zawiera, adres zwrotny też jest ok a w treści wiadomości znajdują się
> jakieś durne zdania - zlepki wyrazów. Nie ma tam żadej viagry, kredytów
> itp. Taką mam właśnie sytuację.

Niektóre bzdurne kombinacje się powtarzają i występują tylko w spamach,
więc filtr bayesowski je wyłapuje. Ponadto te boty często dają się złapać
na błędach w nagłówkach HTTP i tempie wysyłania postów.

Planuję też testować częstotliwość występowania liter i bigramów do
wyłapywania kompletnych nonsensów, ale póki co to nie ma takiej potrzeby -
inne filtry razem dają radę.

--
http://pornel.net
this.author = new Geek("porneL");

do góry

Marek pisze:
>> Dlaczego dupa jest przypisywana dwa razy? I po stronie serwera tylko
>> dupy mam oczekiwać?
>
> Dwa razy ? Tylko raz przecież. W formularzu jest porównanie a nie
> przypisanie.

Faktycznie - nie zauważyłem.

>> Co jeśli jakiemuś użytkownikowi nie działa javascript? Cosik to
>> jeszcze słabo przemyślane :>
>
> Chyba jednak nie. Ta gałązka wątku mówi o tym jak zabezpieczyć się za
> pomocą JS przed submitowaniem formularza przez automaty. No to pokazałem
> na szybko jak to można zrobić. Jeśli formularz miałby zadziałać przy
> wyłączonym JS to byłoby to równoznaczne z tym, że formularz nadal będzie
> submitowany przez automaty. To tak jakbyś zamek od drzwi położył pod
> drzwiami na wycieraczce zamiast go wmontować w te drzwi.

Rozumiem.

> A tak na marginesie towyłączony JS ma chyba promil klientów albo i mniej.

Tyle, że takim klientem jestem często właśnie ja, używając codziennie
Palma - to trochę jakbym sobie sam gałąź podcinał :/

--
Radek N.

do góry

> Tyle, że takim klientem jestem często właśnie ja, używając codziennie
> Palma - to trochę jakbym sobie sam gałąź podcinał :/

To też będzie się zmieniało - podobnie jak kiedyś zachwyt WAPem.
Technologia, która była od początku skazana na wymarcie bo przenośne
urządzenia zaczęły obsługiwać HTML. Za jakiś czas pewnie i JS stanie sie
popularny w tego typu urządzeniach. Pewnie w takich przypadkach jak Twój
należałoby stworzyć alternatywną, upierdliwą formę formularza - z
przepisywaniem kodu. Nie mam pomysłu jak to inaczej zrobić.

do góry

> Na serwerze sprawdź, czy pole jest puste. Większość botów da się skusić na
> wypełnienie pola.

Heh, banalne :-) Chyba to najlepsza metoda będzie.

Dzięki !

do góry