Auteur : Jérôme Bruandet
spamcleaner.org
Date : 01/10/2007
Anti-spam : comment protéger son blog des spams de commentaires
De nombreux webmasters ne souhaitent pas protéger leurs blogs avec des CAPTCHA ou services de filtrage divers afin de ne pas pénaliser leurs visiteurs. Cependant, il est toujours possible de se protéger des spams de commentaires avec quelques astuces très simples en JavaScript utilisées pour faire la différence entre un robot et un humain, mais aussi de pousser les éventuels spammeurs à se piéger eux-mêmes en les renvoyant sans peine sur un formulaire spécifiquement conçu pour les blacklister ou les renvoyer ailleurs, et bien entendu, en toute transparence pour les visiteurs.
Multiples fichiers JS externes :
Très simple à installer et relativement efficace : le formulaire se trouve découpé en plusieurs parties JavaScript, chacune d'elle dans une fichier externe faisant référence à l'un ou plusieurs des autres fichiers :
form_01.js :
function nom_form(){
document.write("Votre nom: <input type=text name=nom size=20><p>");
}
function close_form(){
document.write("</form>");
}
var monscript='mon_scrip.pl';
form_02.js :
function commentaire_form(){
document.write("Votre commentaire:<br><textarea name=commentaire cols=48 rows=6>");
document.write("</textarea><p>");
}
form_03.js :
function affiche(){
document.write("<form method=post action="+monscript+">");
nom_form();
document.write("Votre email: <input type=text name=email size=20><p>");
commentaire_form();
document.write("<input type=submit value='Poster le message'>")
close_form();
}
Aucun spambot n'est en mesure de reconstituer un tel formulaire, sans oublier que vous pourriez rajouter des fonctions totalement obsolètes dans les fichiers JS, voir même encrypter ou masquer les portions de code JS.
Fenêtre pop-up :
Aussi bête que cela puisse paraitre, une autre méthode simple et très efficace que seul un navigateur sera en mesure de reconstituer: pour poster un commentaire, vos visiteurs cliquent sur un lien en JS qui ouvre la fenêtre du formulaire. Le lien, affiché en JS par une fonction affiche_lien() va insérer un autre lien vers la deuxième fonction popup() qui, elle, contient l'URL du formulaire et le code pour ouvrir et centrer la fenêtre.
Fichier JS externe form_01.js :
function popup() {
// hauteur et largeur de la fenêtre en pixels:
var height=400;
var width=400;
// scrollbar (0=non, 1=oui)?
var scroll_bar=0;
// url de la page du formulaire:
var url='http://monsite.tld/monformulaire.html'
var str = "height=" + height + ",innerHeight=" + height;
str += ",width=" + width + ",innerWidth=" + width;
// centre la fenêtre
if (window.screen) {
var ah = screen.availHeight - 30;
var aw = screen.availWidth - 10;
var xc = (aw - width) / 2;
var yc = (ah - height) / 2;
str += ",left=" + xc + ",screenX=" + xc;
str += ",top=" + yc + ",screenY=" + yc;
if (scroll_bar) {str += ",scrollbars=yes";}
else {str += ",scrollbars=no";}
str += ",status=no,location=no,resizable=yes";
}
win = open(url, 'formulaire', str);
}
function affiche_lien(){
document.write('<a href="javascript:popup();">Poster un message</a>');
}
Un utilisateur normal devra bien taper une portion de texte avant d'envoyer son message. Avec un simple événement comme onKeyUp, lorsqu'il va entrer son nom, une variable cachée recevra une valeur que votre script PHP/ASP ou Perl CGI va vérifier. Si elle n'est pas présente ou incorrecte, le script va rejeter le message posté. Dans cet exemple la valeur incorrecte initiale sera de 1350 et la bonne 893:
D'autres événements comme onMouseOver, onFocus etc feraient aussi bien l'affaire, tout comme onLoad (ou window.load) qui va simplement modifier automatiquement la valeur lors du chargement de la page dans un navigateur :
Temps écoulé entre l'affichage de la page et l'envoi des données :
Il va de soit que le temps entre l'affichage de votre page HTML et l'envoi d'un éventuel commentaire devrait au moins être d'une dizaine de secondes. En postant l'heure exacte de l'affichage au script Perl/ASP/PHP, celui-ci va vérifier le nombre de secondes écoulées. On utilisera l'epoch (nombre de millisecondes/secondes depuis le 1er Janv 1970) avec soit un fichier JS externe, soit SSI (Server Side Includes).
Fichier JS externe + code HTML :
function print_epoch(){
var thisdate = new Date();
// getTime() retourne le nombre de MILLISECONDES depuis l'epoch:
var epoch=thisdate.getTime();
document.write("<input type=hidden name=epoch value="+epoch+">");
}
Script Perl (ou autre) de récupération des données postées :
#!/usr/bin/perl
use CGI;
$QUERY = new CGI;
$EPOCH = $QUERY->param('epoch');
if ((!$EPOCH)||($EPOCH!~/^\d{10,13}$/)){goto REDIR}
# ne récupère que les secondes:
$EPOCH=~s/^(\d{10}).*/$1/;
$now=time;
# moins de 10 secondes entre l'affichage de la page et l'envoi des données?
if ($now-$EPOCH<10){
REDIR:
print $QUERY->redirect(-url => "http://fbi.gov");
}
...
Masquer les éléments HTML :
Sans avoir besoin de faire appel à un système de cryptage, vous pouvez masquer votre formulaire en remplaçant les caractères par leur correspondance décimale avec les fonctions JS charCodeAt() et fromCharCode() et l'insérer tel dans votre page HTML ou mieux, dans un fichier JS externe. Vous pouvez tester ci-dessous:
Entrez dans ce cadre votre code HTML :
Cliquez sur "Masquer le code HTML" pour afficher le résultat dans ce cadre :
Vous pouvez télécharger le code JavaScript utilisé dans cet exemple.
La balise <IFRAME> :
La balise <IFRAME> permet de charger une autre page dans votre page HTML principale. Son utilisation est donc très intéressante pour contrer les spams de commentaires en mettant votre formulaire dans un fichier HTML externe :
Bien entendu, rien ne vous empêche de masquer le code d'appel à l'iframe dans votre page HTML avec la méthode décrite dans "Masquer les éléments HTML":
S'il y a une chose que les spammeurs détestent, c'est lorsque l'on décide de jouer avec eux: leur faire perdre leur temps et donc leur argent est la pire des choses qui puisse leur arriver. Il serait vraiment dommage de s'en priver...
Dans cette partie, nous allons reprendre notre premier exemple (multiples fichiers JS externes) mais en encodant l'appel à la fonction affiche() avec fromCharCode(), puis nous allons dans la partie HTML créer un faux formulaire avec de fausses valeurs <INPUT>. Celui-ci sera invisible aux utilisateurs de votre site car caché dans des styles 'DISPLAY:NONE', mais bien visible aux spambots. Quant au vrai formulaire, il ne sera visible qu'aux utilisateurs ayant un navigateur digne de ce nom. En postant les données via ce formulaire bidon, le spammeur va tout simplement se piéger lui-même et sera blacklisté ou redirigé ailleurs:
Le script peut utiliser toute sorte de méthodes pour blacklister comme rajouter l'IP au fichier .htaccess (attention toutefois, le fichier devra être chmodé 0777 ce qui n'est pas très prudent), gérer sa propre base de données d'IP à rejeter et bloquer, ou soit comme ci-dessous tout simplement renvoyer le spambot sur localhost pour lui faire perdre encore un peu plus de son temps.
piege.pl:
#!/usr/bin/perl
use CGI;
$QUERY = new CGI;
print $QUERY->redirect(-url => "http://127.0.0.1");
exit;
Forcer la compression gzip :
Vous disposez d'un serveur dédié ou mutualisé ? Dans ce cas, rien de plus simple : forcez la compression gzip uniquement pour l'affichage de votre formulaire.
Ouvrez votre fichier apache2.conf et entrez la ligne suivante :
SetEnvIf Request_URI contac.html force-gzip
Remplacez contac.html par le nom de la page de votre formulaire puis relancez apache. Comme son nom l'indique, la variable d'environnement force-gzip a pour effet d'envoyer systématiquement le contenu de la page au format compressé gzip, y compris si le destinataire ne le prend pas en charge, et donc de la rendre totalement illisible aux simples bots/scripts des spammeurs.
Voici un aperçu de ce qu'ils obtiendront :
Si, comme on vient de le voir, des méthodes très simples peuvent suffir pour éviter les spams de commentaires, d'autres sont à proscrire car totalement inutiles face aux spambots:
-vérification du referer (HTTP_REFERER): les spammeurs peuvent forger celui-ci et vous faire croire qu'ils viennent de n'importe quel endroit, y compris de votre page de commentaires.
-les cookies: un spambot peut très facilement accepter tous les cookies que vous lui donnerez et vous les retourner à chaque fois que vous les lui demanderez (il suffit juste de 5 ou 6 lignes de code pour le faire).
-bloquer les IP à long terme: si vous bloquez les IP, ne les bloquez pas plus de quelques heures car les spammeurs utilisent des proxies et vous risqueriez de vous retrouver rapidement avec de très longues listes d'IP ne servant pas à grand chose sauf à ralentir terriblement votre site car le fichier .htaccess et des modules comme mod_rewrite ne sont pas réputés pour leur rapidité et ne sont pas fait pour gérer des centaines de lignes de code.
Conclusion:
D'autres méthodes pourraient être utilisées, notamment le rejet de tout message contenant une URL, puisque ce sera presque toujours le cas des spammeurs. L'utilisation d'AJAX pourrait se montrer très efficace mais en raison de requêtes trop nombreuses votre bande passante pourrait vite en souffrir.
Les meilleures méthodes ne sont pas celles qui sont compliquées mais celles qui sont personnalisées, sans oublier l'alternance. Votre formulaire étant probablement créé par un script, il est facile lors de chaque requête d'alterner les différentes possibilités vues ci-dessus ainsi que d'autres aussi simples et efficaces et surtout sans aucune contrainte pour vos utilisateurs si vous ne souhaitez pas les obliger à recopier un CAPTCHA ou bien devoir attendre une validation/modération de leurs messages.
