SPAM de formulaires

25 réponses

Page 1 2

Auteur	Message
tony \| Membre Inscrit le : 20/02/2006	# Le 28/02/2007 à 17:24 Bonjour à tous, Tout d'abord, je me présente, je suis inscris depuis un moment, je viens vous lire de temps en temps mais je n'ai encore jamais posté. Donc, moi c'est Tony, webmaster de E-monsite.com (j'espere que cela ne sera pas pris comme de la pub, l'url du site est importante pour ma question). Voici mon probleme : je propose dans le cadre de mon site un service de livre d'or aux utilisateurs. Pour éviter que des messages non sollicités soient postés automatiquement j'ai mis en place un systeme avec code... Cependant, je sais pas pourquoi, mais ca ne fonctionne pas. Les livre d'ors sont remplis de SPAM.. Exemple : http://www.e-monsite.com/demo/livredor.html Je précise, que mon systeme de code de sécurité se fait via les cookies. Le code affiché est enregistré dans un cookie et est vérifié sur la page suivante (est ce que la donnée du formulaire = le cookie) Voila, si vous avez déjà eu ce probleme ou si vous avez une petite idée je suis preneur ! Merci A+ Tony
zimounet \| Quentin Membre Inscrit le : 22/03/2006	# Le 28/02/2007 à 17:37 alors je n'ai pas regardé , mais si ce son des robots qui lisent les cookies, essaye: de stocker le code-image en md5 dans le cookie, et quand le visiteur saisie le code-image, tu regarde si md5(code-image) == cookie(code-image)... m'enfin la solution doit pas etre compliqué à trouver Ah, c'est balot madame Chombier!
Charts in France \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 28/02/2007 à 17:53 Personnellement je teste depuis quelques semaines un système anti-spam un peu différent, basé sur des additions aléatoires très simples... Je trouve que recopier l'image n'est pas toujours très pratique car parfois illisible (entre 0 et O ou 2 et Z...). Pour l'instant, ça marche bien et les internautes se s'en plaignent pas (pas de baisse du nombre de commentaires). Démo : http://www.chartsinfrance.net/actualite/vcommentai...
jdelire \| Lilian Membre Inscrit le : 14/05/2005	# Le 28/02/2007 à 17:59 Oui mais peut être qu'un jour les spammeurs testeront également certains nombres ? Pourquoi ne pas enregistrer le code en session ? Slwo.fr
tony \| Tony Membre Inscrit le : 20/02/2006	# Le 28/02/2007 à 18:01 zimounet >> Je vais regarder du coté du md5, c'est une bonne piste. Charts in France >> Ton systeme m'interesse aussi. Mais, les robots ne peuvent-ils pas faire cette addition ? Et comment stocks-tu le resultat ? Dans un cookie ? EDIT : jdelire tu as devancé ma question sur l'addition. Pour les sessions, il me semble que ce n'est pas pris en charge par toutes les configurations. (les cookies non plus tu me diras... ) Tony
tonguide \| Jeremy Modérateur Inscrit le : 09/05/2005	# Le 28/02/2007 à 18:10 Pour information, il existe des bots qui savent lire la majorité des systèmes d'images avec du texte dessus, meme à peine visible pour nous. Je soutiens plutot l'idée de Charts in France. Tu fais des phrases du genre quel est le chiffre après le 5 : 890590 ou combien font deux plus quatre ou combien font 3 fois deux etc... Tu changes la formulation de la question etc... Et pour le stock du résultat ... Tu fais un fichier de config avec id/phrase/reponse je sais pas du genre $question[id] = array('ta question','ta reponse'); et tu envois en empty l'id
zimounet \| Quentin Membre Inscrit le : 22/03/2006	# Le 28/02/2007 à 18:36 et sinon, plus simple, on implémente un cookie sur la page du formulaire..., et si ce cookie est présent a la réception des données, ok sinon tej... il suffit de faire en sorte que chaque cookie soit valide 10 minutes le temps de saisir le message... comme les bots savent en principe pas lire les cookie et ne passe la plupart du temps pas par la page de saisie des données..; bref, des solutions y en a 10 000 il faut tester. edit: encore une piste: il est possible d'implémenter un cookie en js, il pourrais etre sympas d'implémenter le cookie lors d'un click sur "envoyer"... Ah, c'est balot madame Chombier!
tony \| Tony Membre Inscrit le : 20/02/2006	# Le 28/02/2007 à 18:47 Dans mon cas, le bot passe bien par la page de saisie des données. J'ai voulu les pister en mettant un champ contenant le HTTP_REFERER dans mes enregistrements. Je viens de mettre en place la solution en md5, je vous tiendrais au courant Tony
kigenaou \| Paul Membre Inscrit le : 09/05/2005	# Le 28/02/2007 à 19:14 tonguide a dit : Pour information, il existe des bots qui savent lire la majorité des systèmes d'images avec du texte dessus, meme à peine visible pour nous. heu ... t'es sur ? les trucs d'ocr marchent pas sur du texte tapé à la machine ... alors .. je doute un peu ;) zimounet a dit : comme les bots savent en principe pas lire les cookie Le "bot" le plus simple que je connaisse, wget est disponible sur quasi toutes les machines unix ...et lit tres bien les cookies ;) Qu'est ce que c'est chia.... ces spammeurs, je me suis fait pourrir un formulaire de contact recement. Maintenant, contact = membre connecté, comme ca je sais d'ou ca vient
SquawK \| Blabla Modérateur Inscrit le : 09/05/2005	# Le 28/02/2007 à 19:19 tonguide a dit : Pour information, il existe des bots qui savent lire la majorité des systèmes d'images avec du texte dessus, meme à peine visible pour nous. heu ... t'es sur ? les trucs d'ocr marchent pas sur du texte tapé à la machine ... alors .. je doute un peu ;) Et pourtant c'est le cas. Comparatif pc portable
Julgates \| Julien Administrateur Inscrit le : 09/03/2005	# Le 28/02/2007 à 19:21 Bonjour tout le monde Impressionné par ces nouvelles têtes, qui êtes-vous ? Pour répondre à votre sujet, suggestion pas idiote de mon directeur technique tout à l'heure : * mettre un champ <input type="text" name="lastname"> dans le formulaire, de manière à faire croire au bot que c'est un vrai champ (nom commun) * le cacher en CSS ou avec un attribut style (visibility ; display) * si ce champ est rempli, c'est donc forcément un robot Qu'en pensez-vous ? Shopping Time Network - Founder / CTO
kigenaou \| Paul Membre Inscrit le : 09/05/2005	# Le 28/02/2007 à 19:22 SquawK a dit : tonguide a dit : Pour information, il existe des bots qui savent lire la majorité des systèmes d'images avec du texte dessus, meme à peine visible pour nous. heu ... t'es sur ? les trucs d'ocr marchent pas sur du texte tapé à la machine ... alors .. je doute un peu ;) Et pourtant c'est le cas. ca serait possible d'avoir des exemples ? ou c'est sur vos sites que vous voyez passer ce genre de monstre ;)
tonguide \| Jeremy Modérateur Inscrit le : 09/05/2005	# Le 28/02/2007 à 19:31 Euh, faudrait retrouver l'url mais j'avais trouvé sur un site ricain un programme qui savait decrypté la quasi totalité des captcha image (et pourtant certains étaient super complexe) Avec exemple etc... Donc je confirme que les bots savent très bien le faire. Les cookies, ils savent très bien les lire, donc inutile de préférer passer par un cookie par rapport à un hidden ... Sinon en effet, ça peut etre sympa comme solution Julgates, faudrait tester.
erwinol \| Erwin Membre Inscrit le : 09/05/2005	# Le 28/02/2007 à 20:19 tonguide a dit : Euh, faudrait retrouver l'url mais j'avais trouvé sur un site ricain un programme qui savait decrypté la quasi totalité des captcha image (et pourtant certains étaient super complexe) Avec exemple etc... Oui c'est un lien qui avait été donné sur le forum par Bool il me semble.
erwinol \| Erwin Membre Inscrit le : 09/05/2005	# Le 28/02/2007 à 20:21 Retrouvé : C'était dans le topic "Spam de formulaire " et le lien en question est : http://sam.zoy.org/pwntcha/
Geo 113 \| Geoffrey Modérateur Inscrit le : 04/05/2005	# Le 28/02/2007 à 20:50 ca va spamer dur ^^ Cosmix Rendez imprévisible l'Economie; Mentez aux sondages
zimounet \| Quentin Membre Inscrit le : 22/03/2006	# Le 28/02/2007 à 23:43 Julgates a dit : * mettre un champ <input type="text" name="lastname"> dans le formulaire, de manière à faire croire au bot que c'est un vrai champ (nom commun) * le cacher en CSS ou avec un attribut style (visibility ; display) * si ce champ est rempli, c'est donc forcément un robot En effet, encore une bonne idée! Comme je le disais, il doit y en avoir pas mal des solutions du genre assez simple à tester Ah, c'est balot madame Chombier!
kigenaou \| Paul Membre Inscrit le : 09/05/2005	# Le 01/03/2007 à 05:24 erwinol a dit : Retrouvé : C'était dans le topic "Spam de formulaire " et le lien en question est : http://sam.zoy.org/pwntcha/ Merci, Effectivement, c'est impressionnant ! Cela dit, ce n'est pas encore parfait comme système, il reste pas mal de captcha qu'il ne décode pas.
Zalex14 \| Alexandre Modérateur Inscrit le : 09/05/2005	# Le 01/03/2007 à 08:43 erwinol a dit : Retrouvé : C'était dans le topic "Spam de formulaire " Perso j'utilise depuis plusieures semaines la solution de superfc tirée de ce topic et je n'ai plus aucun souci de spam Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.
radins \| Tobias Modérateur Inscrit le : 09/05/2005	# Le 06/03/2007 à 20:24 Julgates a dit : Pour répondre à votre sujet, suggestion pas idiote de mon directeur technique tout à l'heure : * mettre un champ <input type="text" name="lastname"> dans le formulaire, de manière à faire croire au bot que c'est un vrai champ (nom commun) * le cacher en CSS ou avec un attribut style (visibility ; display) * si ce champ est rempli, c'est donc forcément un robot Excellente idée, je vais tester et je vous dirai si ça marche.. :-)

Auteur

Message

Inscrit le : 20/02/2006

# Le 28/02/2007 à 17:24

Bonjour à tous,

Tout d'abord, je me présente, je suis inscris depuis un moment, je viens vous lire de temps en temps mais je n'ai encore jamais posté. Donc, moi c'est Tony, webmaster de E-monsite.com (j'espere que cela ne sera pas pris comme de la pub, l'url du site est importante pour ma question).

Voici mon probleme : je propose dans le cadre de mon site un service de livre d'or aux utilisateurs. Pour éviter que des messages non sollicités soient postés automatiquement j'ai mis en place un systeme avec code... Cependant, je sais pas pourquoi, mais ca ne fonctionne pas. Les livre d'ors sont remplis de SPAM..
Exemple : http://www.e-monsite.com/demo/livredor.html

Je précise, que mon systeme de code de sécurité se fait via les cookies. Le code affiché est enregistré dans un cookie et est vérifié sur la page suivante (est ce que la donnée du formulaire = le cookie)

Voila, si vous avez déjà eu ce probleme ou si vous avez une petite idée je suis preneur !

Merci A+

Tony

zimounet | Quentin
Membre

Inscrit le : 22/03/2006

# Le 28/02/2007 à 17:37

alors je n'ai pas regardé , mais si ce son des robots qui lisent les cookies, essaye: de stocker le code-image en md5 dans le cookie, et quand le visiteur saisie le code-image, tu regarde si md5(code-image) == cookie(code-image)...

m'enfin la solution doit pas etre compliqué à trouver

Ah, c'est balot madame Chombier!

Charts in France | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 28/02/2007 à 17:53

Personnellement je teste depuis quelques semaines un système anti-spam un peu différent, basé sur des additions aléatoires très simples... Je trouve que recopier l'image n'est pas toujours très pratique car parfois illisible (entre 0 et O ou 2 et Z...).

Pour l'instant, ça marche bien et les internautes se s'en plaignent pas (pas de baisse du nombre de commentaires).

Démo : http://www.chartsinfrance.net/actualite/vcommentai...

jdelire | Lilian
Membre

Inscrit le : 14/05/2005

# Le 28/02/2007 à 17:59

Oui mais peut être qu'un jour les spammeurs testeront également certains nombres ?

Pourquoi ne pas enregistrer le code en session ?

Slwo.fr

tony | Tony
Membre

Inscrit le : 20/02/2006

# Le 28/02/2007 à 18:01

zimounet >> Je vais regarder du coté du md5, c'est une bonne piste.

Charts in France >> Ton systeme m'interesse aussi. Mais, les robots ne peuvent-ils pas faire cette addition ? Et comment stocks-tu le resultat ? Dans un cookie ?

EDIT : jdelire tu as devancé ma question sur l'addition. Pour les sessions, il me semble que ce n'est pas pris en charge par toutes les configurations. (les cookies non plus tu me diras... )

Tony

tonguide | Jeremy
Modérateur

Inscrit le : 09/05/2005

# Le 28/02/2007 à 18:10

Pour information, il existe des bots qui savent lire la majorité des systèmes d'images avec du texte dessus, meme à peine visible pour nous.
Je soutiens plutot l'idée de Charts in France.

Tu fais des phrases du genre
quel est le chiffre après le 5 : 890590
ou combien font deux plus quatre
ou combien font 3 fois deux

etc...

Tu changes la formulation de la question etc...

Et pour le stock du résultat ...
Tu fais un fichier de config avec id/phrase/reponse

je sais pas du genre $question[id] = array('ta question','ta reponse');

et tu envois en empty l'id

zimounet | Quentin
Membre

Inscrit le : 22/03/2006

# Le 28/02/2007 à 18:36

et sinon, plus simple, on implémente un cookie sur la page du formulaire..., et si ce cookie est présent a la réception des données, ok sinon tej...

il suffit de faire en sorte que chaque cookie soit valide 10 minutes le temps de saisir le message...

comme les bots savent en principe pas lire les cookie et ne passe la plupart du temps pas par la page de saisie des données..;

bref, des solutions y en a 10 000 il faut tester.

edit: encore une piste: il est possible d'implémenter un cookie en js, il pourrais etre sympas d'implémenter le cookie lors d'un click sur "envoyer"...

Ah, c'est balot madame Chombier!

tony | Tony
Membre

Inscrit le : 20/02/2006

# Le 28/02/2007 à 18:47

Dans mon cas, le bot passe bien par la page de saisie des données. J'ai voulu les pister en mettant un champ contenant le HTTP_REFERER dans mes enregistrements.

Je viens de mettre en place la solution en md5, je vous tiendrais au courant

Tony

kigenaou | Paul
Membre

Inscrit le : 09/05/2005

# Le 28/02/2007 à 19:14

tonguide a dit :
Pour information, il existe des bots qui savent lire la majorité des systèmes d'images avec du texte dessus, meme à peine visible pour nous.

heu ... t'es sur ?
les trucs d'ocr marchent pas sur du texte tapé à la machine ... alors .. je doute un peu ;)

zimounet a dit :
comme les bots savent en principe pas lire les cookie

Le "bot" le plus simple que je connaisse, wget est disponible sur quasi toutes les machines unix ...et lit tres bien les cookies ;)

Qu'est ce que c'est chia.... ces spammeurs, je me suis fait pourrir un formulaire de contact recement.

Maintenant, contact = membre connecté, comme ca je sais d'ou ca vient

SquawK | Blabla
Modérateur

Inscrit le : 09/05/2005

# Le 28/02/2007 à 19:19

tonguide a dit :
Pour information, il existe des bots qui savent lire la majorité des systèmes d'images avec du texte dessus, meme à peine visible pour nous.

heu ... t'es sur ?
les trucs d'ocr marchent pas sur du texte tapé à la machine ... alors .. je doute un peu ;)

Et pourtant c'est le cas.

Comparatif pc portable

Julgates | Julien
Administrateur

Inscrit le : 09/03/2005

# Le 28/02/2007 à 19:21

Bonjour tout le monde

Impressionné par ces nouvelles têtes, qui êtes-vous ?

Pour répondre à votre sujet, suggestion pas idiote de mon directeur technique tout à l'heure :
* mettre un champ <input type="text" name="lastname"> dans le formulaire, de manière à faire croire au bot que c'est un vrai champ (nom commun)
* le cacher en CSS ou avec un attribut style (visibility ; display)
* si ce champ est rempli, c'est donc forcément un robot

Qu'en pensez-vous ?

Shopping Time Network - Founder / CTO

kigenaou | Paul
Membre

Inscrit le : 09/05/2005

# Le 28/02/2007 à 19:22

SquawK a dit :

Et pourtant c'est le cas.

ca serait possible d'avoir des exemples ?
ou c'est sur vos sites que vous voyez passer ce genre de monstre ;)

tonguide | Jeremy
Modérateur

Inscrit le : 09/05/2005

# Le 28/02/2007 à 19:31

Euh, faudrait retrouver l'url mais j'avais trouvé sur un site ricain un programme qui savait decrypté la quasi totalité des captcha image (et pourtant certains étaient super complexe)
Avec exemple etc...

Donc je confirme que les bots savent très bien le faire.

Les cookies, ils savent très bien les lire, donc inutile de préférer passer par un cookie par rapport à un hidden ...

Sinon en effet, ça peut etre sympa comme solution Julgates, faudrait tester.

erwinol | Erwin
Membre

Inscrit le : 09/05/2005

# Le 28/02/2007 à 20:19

tonguide a dit :
Euh, faudrait retrouver l'url mais j'avais trouvé sur un site ricain un programme qui savait decrypté la quasi totalité des captcha image (et pourtant certains étaient super complexe)
Avec exemple etc...

Oui c'est un lien qui avait été donné sur le forum par Bool il me semble.

erwinol | Erwin
Membre

Inscrit le : 09/05/2005

# Le 28/02/2007 à 20:21

Retrouvé :

C'était dans le topic "Spam de formulaire " et le lien en question est :

http://sam.zoy.org/pwntcha/

Geo 113 | Geoffrey
Modérateur

Inscrit le : 04/05/2005

# Le 28/02/2007 à 20:50

ca va spamer dur ^^

Cosmix
Rendez imprévisible l'Economie; Mentez aux sondages

zimounet | Quentin
Membre

Inscrit le : 22/03/2006

# Le 28/02/2007 à 23:43

Julgates a dit :
* mettre un champ <input type="text" name="lastname"> dans le formulaire, de manière à faire croire au bot que c'est un vrai champ (nom commun)
* le cacher en CSS ou avec un attribut style (visibility ; display)
* si ce champ est rempli, c'est donc forcément un robot

En effet, encore une bonne idée! Comme je le disais, il doit y en avoir pas mal des solutions du genre assez simple à tester

Ah, c'est balot madame Chombier!

kigenaou | Paul
Membre

Inscrit le : 09/05/2005

# Le 01/03/2007 à 05:24

erwinol a dit :
Retrouvé :

C'était dans le topic "Spam de formulaire

" et le lien en question est :

http://sam.zoy.org/pwntcha/

Merci,

Effectivement, c'est impressionnant !
Cela dit, ce n'est pas encore parfait comme système, il reste pas mal de captcha qu'il ne décode pas.

Zalex14 | Alexandre
Modérateur

Inscrit le : 09/05/2005

# Le 01/03/2007 à 08:43

erwinol a dit :
Retrouvé :

C'était dans le topic "Spam de formulaire

Perso j'utilise depuis plusieures semaines la solution de superfc tirée de ce topic et je n'ai plus aucun souci de spam

Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.

radins | Tobias
Modérateur

Inscrit le : 09/05/2005

# Le 06/03/2007 à 20:24

Julgates a dit :
Pour répondre à votre sujet, suggestion pas idiote de mon directeur technique tout à l'heure :
* mettre un champ <input type="text" name="lastname"> dans le formulaire, de manière à faire croire au bot que c'est un vrai champ (nom commun)
* le cacher en CSS ou avec un attribut style (visibility ; display)
* si ce champ est rempli, c'est donc forcément un robot

Excellente idée, je vais tester et je vous dirai si ça marche.. :-)

Page 1 2

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.