des sessions contre le spam ?

[Fab le Fou]

Depuis un moment j'ai de plus en plus de problèmes de spam des différents formulaires présents sur mes sites.

Il me semble avoir lu quelque part (sur ce forum) que l'utilisation d'un code aléatoir à saisir par l'utilisateur souhaitant valider un formulaire pose des problèmes d'accessibilité.

Par ailleurs, cela me semble inadapté dans certains cas, notamment le champ d'un moteur de recherche.

J'ai vu sur certains sites que les e-mails (par exemple) n'apparaissent que si j'autorise le javascript.

Cela peut donc être une solution d'écrire en javascript le code que l'on ne souhaite pas rendre visible aux robots spammeurs.
Si ce n'est que cela pose le même problème d'accessibilité puisqu'il y a un poucentage non négligeable d'internautes ne supportant pas le javascript.

Mon idée est donc d'utiliser des sessions pour permettre cet affichage protégé.

C'est à dire qu'en début de page je génère une variable de session et que je n'écris plus loin le code sensible que si cette variable existe.

Les formulaires et adresses e-mail seraient ainsi complètement invisibles pour les robots.

Bref, pas de session, pas de chocolat ! :wink:

Je souhaite savoir ce que vous pensez de cette solution en terme d'efficacité (les robots peuvent-ils simuler une session ?), d'accessibilité, etc. ?

 

[Bourriquet]

Je souhaite savoir ce que vous pensez de cette solution en terme d'efficacité (les robots peuvent-ils simuler une session ?), d'accessibilité, etc. ?

Oui, les robots peuvent simuler une session. Tout comme un robot peut interprêter javascript. Ou tout comme un robot peut lire une image.

Il suffit qu'il y ai quelqu'un qui code ça. Si je ne m'abuse, je pense que lynx permet accepte les sessions, un petit bot à base de cet utilitaire n'est pas très compliqué à mettre en oeuvre.

 

[Fab le Fou]

Donc il n'y a pas de solution totalement efficace.
Mais ça peut néanmoins sans doute bloquer les principaux spammeurs.

Il faut peut-être privilégier les méthodes de protection les moins courantes.

C'est un peu comme les navigateurs : moins ils ont d'utilisateurs, moins il est stratégique pour les virus et autres spywares de s'y attaquer.

 

[Leonick]

Déjà, vérifier le contenu des variables du formulaire, car en général, le spam envoie des données de manière brute dans tous les champs et on se retrouve avec des adresses mel dans le nom, etc...
Et bien évidemment, une vérification au niveau php et pas que javascript
J'ai eu ce type de spam àun moment, et au début je ne vérifiais que l'injection de code que je nettoyais. Depuis que je vérifie tous les champs et que tant que TOUS les champs ne sont pas corrects je n'envoie rien,plus de problème.
éventuellement, changer les noms des champs, avec par exemple un bout de la variable de session

 

[Fab le Fou]

Oui en fait j'ai réussi à régler la majorité des problèmes via des tests en php.

Ils semblaient par exemple prendre mon moteur de recherche pour un formulaire d'inscription de newsletter et m'envoyaient des adresses e-mail bidons avec mon nom de domaine.

Il m' suffit dans ce cas, de vérifier si il y a un @ dans le texte saisi, mais je me dis que si ils voulaient vraiment polluer mon moteur ils soumettraient des mots relativement courts et ne contenant pas de caractères particuliers, et que là je serais bien embêté pour détecter automatiquement que c'est du spam.

D'où mon idée d'essayer de rendre le champ invisible aux robots d'une façon ou d'une autre...