Spam de formulaire de contact

23 réponses

Page 1 2

Auteur	Message
Shain \| Membre Inscrit le : 10/05/2005	# Le 11/08/2006 à 09:58 Hello, Je ne sais si c'est pareil pour vous, mais j'ai de plus en plus de spam qui utilisent directement mes formulaires de contact ! Ces spams semblent automatiques ... Est-ce que vous avez deja eu le problème, et si vous l'avez résolu quelle solution avez vous utilisée ? Je pensais envoyer tout le formulaire en javascript, puisqu'à mon avis les robots des spammeurs ne peuvent pas les suivre ... bonne idée ? [ Shain ] http://www.automobile-propre.com - http://fr.chargemap.com
krucial \| Jean Christophe Administrateur Inscrit le : 09/03/2005	# Le 11/08/2006 à 10:10 captcha ! JC - Mes sites \| Affiliation devis travaux \| Cotes voitures anciennes
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 11/08/2006 à 10:17 Hello, comme déjà évoqué ici, la première chose à faire est de protéger les entêtes du mail.... c'est à dire faire attention aux champs "To:", "From:", et sûrement "Subject:" également. Souvent ces spammeurs ajoutent un retour chariot et en profitent pour ajouter un entête "Bcc:" bien rempli... J'ai eu 2 machines blacklistées par AOL en quelques heures à cause de ça. Et d'après ce que j'ai pu voir, les "robots" ne s'acharnent sur les formulaire de contact _que_ s'ils arrivent à leur fin.. sinon ils passent leur chemin... donc vérifie ton code... ou bien jete un oeil aux logs de ton serveur de mail. PS : captcha c'est surtout contraignant pour les visiteurs. Les robots ça les gène pas tant que ça. Un peu de lecture : http://sam.zoy.org/pwntcha/ daevel : infogérance et conseil \|\| moi
erwinol \| Erwin Membre Inscrit le : 09/05/2005	# Le 11/08/2006 à 10:37 Bool a dit : Un peu de lecture : http://sam.zoy.org/pwntcha/ Ah ouais
superfc \| Florent Membre Inscrit le : 01/07/2006	# Le 11/08/2006 à 13:20 C'est une bonne idée les sessions. Cela dit, si les techniques s'améliorent, ça ne demander qu'une étape en plus (récupérer la page). Tu peux ensuite ajouter par exemple un peu d'Ajax. Genre une fois que tu as rentré soit ton message, soit ton nom, ça fait appelle à un truc Ajax qui définit l'adresse de la page à laquelle envoyer le formulaire. Là, ça oblige les spammeurs à charger la page, à interprêter l'Ajax et à envoyer l'info. Florent Florent Clairambault - http://florent.clairambault.fr Gtalk : superfc@gmail.com
DarkSquall \| Membre Inscrit le : 27/08/2005	# Le 11/08/2006 à 19:55 Non, jamais eu ça via un form... Le mieu serait pas de remplacer le form par une image contenant votre mail ? Vous pourrez vous appliquer pour la brouillée... Je connais pas trop les techniques des spameurs, mais je pense que ça devrait être une bonne méthode... Enfin même via des spywares installés sur le PC de nos correspondants, on peux se faire choper notre mail, donc à ce moment, toutes nos méthodes ne servent à rien... Isyweb.com
Veronica \| Veronica Membre Inscrit le : 03/05/2006	# Le 21/08/2006 à 17:36 Oui, nous avons rencontré le problème. Pour le moment nous avons mis des images codées. ça marche, mais comme c'est pas très convivial et ça oblige les internautes à remettre un code qui n'est pas toujours très clair ... Donc en principe nous allons tester prochainement un script. Je te l'envoi par MP si jamais tu veux faire le test avant nous :-) Tu nous diras ...
superfc \| Florent Membre Inscrit le : 01/07/2006	# Le 21/08/2006 à 22:22 J'ai moi même des formulaire d'ajout de commentaire qui se charge en Ajax, et aucun SPAM. C'est à dire quand on clique sur "ajouter un commentaire", la partie d'ajout de commentaire se charge. Ca protège déja des robots automatique. Sinon, il y'a d'autre méthode genre dans le champs de formulaire, vous rajoutez : echo '<input type="hidden" id="verif" name="verif" value="'.md5( session_id() ).'" /> <script type="text/javascript" src="http://commun.webingenia.com/js/MD5.js"> </script> <script type="text/javascript"> document.getElementById("verif").value = MD5( document.getElementById("verif") ); </script> '; et à l'ajout vous mettez : if ( $_POST['verif'] != md5( md5( session_id() ) ) ) { exit('Degage vilain robot'); } Ca oblige le robot à : - Lire la page - Utiliser sauver la session - Executer le JavaScript pour faire le MD5 En gros, comme me le disait Flush, il faudrait que le robot intègre Gecko pour envoyer le formulaire correctement. Ce qui même si c'est réalisable deviendrait un peu complexe. Florent Clairambault - http://florent.clairambault.fr Gtalk : superfc@gmail.com
Limit \| Cyril Membre Inscrit le : 11/05/2005	# Le 21/08/2006 à 22:32 et donc tout ceux qui n'ont pas le JS d'activé n'ont pas accès à ta page? Forum Gratuit - Blog gratuit
superfc \| Florent Membre Inscrit le : 01/07/2006	# Le 21/08/2006 à 22:37 Exactement... En même temps, ça représente combien en pourcentage ? A mon avis, moins de 0.5%. Florent Clairambault - http://florent.clairambault.fr Gtalk : superfc@gmail.com
flush \| Jean-Philippe Modérateur Inscrit le : 09/05/2005	# Le 21/08/2006 à 23:20 Je dirais même moins ... en tout cas avec une méthode de ce genre là ... ca donne un coup d'avance sur les robots @+ Jean-Philippe
SquawK \| Blabla Modérateur Inscrit le : 09/05/2005	# Le 21/08/2006 à 23:27 0.2 % sur un site, 0.3% sur un autre et 0.9% sur le dernier selon xiti je dirais que c'est acceptable. Comparatif pc portable
superfc \| Florent Membre Inscrit le : 01/07/2006	# Le 22/08/2006 à 22:28 J'ai implémenté ma solution sur DotClear : http://blog.webingenia.com/2006/08/22/15-systeme-d... Florent Clairambault - http://florent.clairambault.fr Gtalk : superfc@gmail.com
mirage \| Vincent Modérateur Inscrit le : 04/05/2005	# Le 09/09/2006 à 18:14 Je remonte ce post car je suis tombé là-dessus donc si vous voulez tester vos captcha...
superfc \| Florent Membre Inscrit le : 01/07/2006	# Le 09/09/2006 à 18:37 De toute façon, les captcha c'est anti-ergonomique... Florent Clairambault - http://florent.clairambault.fr Gtalk : superfc@gmail.com
Zalex14 \| Alexandre Modérateur Inscrit le : 09/05/2005	# Le 11/10/2006 à 18:02 dob a dit : Un petit up pour dire que si ça intéresse quelqu'un, on peut éventuellement partager la black list des spammeurs sur nos blogs ;) Et pourquoi pas mettre toutes ces adresses IP en commun pour avoir une base solide ? Et la Cnil autorise des listes noires ?? Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.
Zalex14 \| Alexandre Modérateur Inscrit le : 09/05/2005	# Le 11/10/2006 à 18:28 exemples : http://www.cnil.fr/index.php?id=2126 http://www.cnil.fr/index.php?id=1049 Je me trompe peut être mais il me semble que la création de listes noires est à peine tolérée par la CNIL, et que la diffusion ou le partage est strictement interdite. Ca a peut être évolué récemment, mais connaissant la CNIL je serais étonné Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.
superfc \| Florent Membre Inscrit le : 01/07/2006	# Le 11/10/2006 à 19:39 De toute façon, c'est pas la peine. Un système d'antispam basique fonctionne très bien. Florent Clairambault - http://florent.clairambault.fr Gtalk : superfc@gmail.com
Julgates \| Julien Administrateur Inscrit le : 09/03/2005	# Le 11/10/2006 à 21:14 Même un système de parrainage ne filtre pas tout, alors un antispam... Shopping Time Network - Founder / CTO
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 04/05/2007 à 10:40 Je déterre ce topic pour signaler un petit truc issu de l'annonce de la nouvelle version de PHP (5.2.2) : Fixed a header injection via Subject and To parameters to the mail() function (MOPB-34 by Stefan Esser) Ce qui devrait réduire à moyen terme une partie du spam de formulaire (note : les entetes du genre "From:" restent évidement non protégés). PS : curieusement ils n'ont appliqué cette correction à la branche PHP 4.... et pourquoi diable ne se réveillent ils que maintenant ? daevel : infogérance et conseil \|\| moi

Auteur

Message

Inscrit le : 10/05/2005

# Le 11/08/2006 à 09:58

Hello,

Je ne sais si c'est pareil pour vous, mais j'ai de plus en plus de spam qui utilisent directement mes formulaires de contact ! Ces spams semblent automatiques ...

Est-ce que vous avez deja eu le problème, et si vous l'avez résolu quelle solution avez vous utilisée ? Je pensais envoyer tout le formulaire en javascript, puisqu'à mon avis les robots des spammeurs ne peuvent pas les suivre ... bonne idée ?

[ Shain ]
http://www.automobile-propre.com - http://fr.chargemap.com

krucial | Jean Christophe
Administrateur

Inscrit le : 09/03/2005

# Le 11/08/2006 à 10:10

captcha !

JC - Mes sites | Affiliation devis travaux | Cotes voitures anciennes

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 11/08/2006 à 10:17

Hello,

comme déjà évoqué ici, la première chose à faire est de protéger les entêtes du mail.... c'est à dire faire attention aux champs "To:", "From:", et sûrement "Subject:" également. Souvent ces spammeurs ajoutent un retour chariot et en profitent pour ajouter un entête "Bcc:" bien rempli...

J'ai eu 2 machines blacklistées par AOL en quelques heures à cause de ça.

Et d'après ce que j'ai pu voir, les "robots" ne s'acharnent sur les formulaire de contact _que_ s'ils arrivent à leur fin.. sinon ils passent leur chemin... donc vérifie ton code... ou bien jete un oeil aux logs de ton serveur de mail.

PS : captcha c'est surtout contraignant pour les visiteurs. Les robots ça les gène pas tant que ça. Un peu de lecture : http://sam.zoy.org/pwntcha/

daevel : infogérance et conseil || moi

erwinol | Erwin
Membre

Inscrit le : 09/05/2005

# Le 11/08/2006 à 10:37

Bool a dit :
Un peu de lecture : http://sam.zoy.org/pwntcha/

Ah ouais

superfc | Florent
Membre

Inscrit le : 01/07/2006

# Le 11/08/2006 à 13:20

C'est une bonne idée les sessions. Cela dit, si les techniques s'améliorent, ça ne demander qu'une étape en plus (récupérer la page).

Tu peux ensuite ajouter par exemple un peu d'Ajax. Genre une fois que tu as rentré soit ton message, soit ton nom, ça fait appelle à un truc Ajax qui définit l'adresse de la page à laquelle envoyer le formulaire. Là, ça oblige les spammeurs à charger la page, à interprêter l'Ajax et à envoyer l'info.

Florent

Florent Clairambault - http://florent.clairambault.fr
Gtalk : superfc@gmail.com

DarkSquall |
Membre

Inscrit le : 27/08/2005

# Le 11/08/2006 à 19:55

Non, jamais eu ça via un form...

Le mieu serait pas de remplacer le form par une image contenant votre mail ?
Vous pourrez vous appliquer pour la brouillée...

Je connais pas trop les techniques des spameurs, mais je pense que ça devrait être une bonne méthode...

Enfin même via des spywares installés sur le PC de nos correspondants, on peux se faire choper notre mail, donc à ce moment, toutes nos méthodes ne servent à rien...

Isyweb.com

Veronica | Veronica
Membre

Inscrit le : 03/05/2006

# Le 21/08/2006 à 17:36

Oui, nous avons rencontré le problème. Pour le moment nous avons mis des images codées. ça marche, mais comme c'est pas très convivial et ça oblige les internautes à remettre un code qui n'est pas toujours très clair ... Donc en principe nous allons tester prochainement un script. Je te l'envoi par MP si jamais tu veux faire le test avant nous :-)

Tu nous diras ...

superfc | Florent
Membre

Inscrit le : 01/07/2006

# Le 21/08/2006 à 22:22

J'ai moi même des formulaire d'ajout de commentaire qui se charge en Ajax, et aucun SPAM.

C'est à dire quand on clique sur "ajouter un commentaire", la partie d'ajout de commentaire se charge. Ca protège déja des robots automatique.

Sinon, il y'a d'autre méthode

genre dans le champs de formulaire, vous rajoutez :

echo '<input type="hidden" id="verif" name="verif" value="'.md5( session_id() ).'" />



<script type="text/javascript" src="http://commun.webingenia.com/js/MD5.js">

</script>

<script type="text/javascript">

document.getElementById("verif").value = MD5( document.getElementById("verif") );

</script>

';

et à l'ajout vous mettez :

if ( $_POST['verif'] != md5( md5( session_id() ) ) ) {

   exit('Degage vilain robot');

}

Ca oblige le robot à :
- Lire la page
- Utiliser sauver la session
- Executer le JavaScript pour faire le MD5

En gros, comme me le disait Flush, il faudrait que le robot intègre Gecko pour envoyer le formulaire correctement. Ce qui même si c'est réalisable deviendrait un peu complexe.

Florent Clairambault - http://florent.clairambault.fr
Gtalk : superfc@gmail.com

Limit | Cyril
Membre

Inscrit le : 11/05/2005

# Le 21/08/2006 à 22:32

et donc tout ceux qui n'ont pas le JS d'activé n'ont pas accès à ta page?

Forum Gratuit - Blog gratuit

superfc | Florent
Membre

Inscrit le : 01/07/2006

# Le 21/08/2006 à 22:37

Exactement...

En même temps, ça représente combien en pourcentage ? A mon avis, moins de 0.5%.

Florent Clairambault - http://florent.clairambault.fr
Gtalk : superfc@gmail.com

flush | Jean-Philippe
Modérateur

Inscrit le : 09/05/2005

# Le 21/08/2006 à 23:20

Je dirais même moins ... en tout cas avec une méthode de ce genre là ... ca donne un coup d'avance sur les robots

@+ Jean-Philippe

SquawK | Blabla
Modérateur

Inscrit le : 09/05/2005

# Le 21/08/2006 à 23:27

0.2 % sur un site, 0.3% sur un autre et 0.9% sur le dernier selon xiti

je dirais que c'est acceptable.

Comparatif pc portable

superfc | Florent
Membre

Inscrit le : 01/07/2006

# Le 22/08/2006 à 22:28

J'ai implémenté ma solution sur DotClear :
http://blog.webingenia.com/2006/08/22/15-systeme-d...

Florent Clairambault - http://florent.clairambault.fr
Gtalk : superfc@gmail.com

mirage | Vincent
Modérateur

Inscrit le : 04/05/2005

# Le 09/09/2006 à 18:14

Je remonte ce post car je suis tombé là-dessus donc si vous voulez tester vos captcha...

superfc | Florent
Membre

Inscrit le : 01/07/2006

# Le 09/09/2006 à 18:37

De toute façon, les captcha c'est anti-ergonomique...

Florent Clairambault - http://florent.clairambault.fr
Gtalk : superfc@gmail.com

Zalex14 | Alexandre
Modérateur

Inscrit le : 09/05/2005

# Le 11/10/2006 à 18:02

dob a dit :
Un petit up pour dire que si ça intéresse quelqu'un, on peut éventuellement partager la black list des spammeurs sur nos blogs ;)

Et pourquoi pas mettre toutes ces adresses IP en commun pour avoir une base solide ?

Et la Cnil autorise des listes noires ??

Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.

Zalex14 | Alexandre
Modérateur

Inscrit le : 09/05/2005

# Le 11/10/2006 à 18:28

exemples :
http://www.cnil.fr/index.php?id=2126
http://www.cnil.fr/index.php?id=1049

Je me trompe peut être mais il me semble que la création de listes noires est à peine tolérée par la CNIL, et que la diffusion ou le partage est strictement interdite.
Ca a peut être évolué récemment, mais connaissant la CNIL je serais étonné

Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.

superfc | Florent
Membre

Inscrit le : 01/07/2006

# Le 11/10/2006 à 19:39

De toute façon, c'est pas la peine. Un système d'antispam basique fonctionne très bien.

Florent Clairambault - http://florent.clairambault.fr
Gtalk : superfc@gmail.com

Julgates | Julien
Administrateur

Inscrit le : 09/03/2005

# Le 11/10/2006 à 21:14

Même un système de parrainage ne filtre pas tout, alors un antispam...

Shopping Time Network - Founder / CTO

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 04/05/2007 à 10:40

Je déterre ce topic pour signaler un petit truc issu de l'annonce de la nouvelle version de PHP (5.2.2) :

Fixed a header injection via Subject and To parameters to the mail() function (MOPB-34 by Stefan Esser)

Ce qui devrait réduire à moyen terme une partie du spam de formulaire (note : les entetes du genre "From:" restent évidement non protégés).

PS : curieusement ils n'ont appliqué cette correction à la branche PHP 4.... et pourquoi diable ne se réveillent ils que maintenant ?

daevel : infogérance et conseil || moi

Page 1 2

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.