[Sécurité] Un piège à bot (ou robot spameux) [Résolu]

[psychoBob]

Bonjour,

Je voudrais faire un piège à bot.

Il parait que le coup des input hidden fonctionne bien pour ça : si le bot passe il va la cocher, mais si elle est coché, le script fonctionne plus.
Je fais comment au juste ?

je marque ça ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<input type="hidden" name="piege">

Ou alors je rajoute :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<input type="hidden" name="piege" value="">

Et si j'en fait deux, dont une checked ? Le bot coche ou décoche la première et donc fait pareil pour la deuxième, manque de pot il devait faire l'inverse ?


Comment dois-je faire au juste, s'il vous plait ?

[Yogui]

Salut

Si tu trouves l'attribut checked ou selected pour un champ hidden, tu me préviens ok ?
Sans blague, je pense qu'il suffit de donner un name relativement courant au champ et de ne surtout pas lui mettre de value.
L'idée est ensuite de vérifier si !empty() et le tour est joué.

[psychoBob]

Merci Yogui pour ta réponse,

Citation:

Si tu trouves l'attribut checked ou
selected pour un champ hidden, tu me préviens ok ?

Bah...ok

Citation:

Sans blague, je pense qu'il suffit de donner un name relativement courant au champ et de ne surtout pas lui mettre de value.

Justement, c'est à dire ? Je ne met même pas l'attribut value ou alors je marque value="" ?

Solution 1 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="hidden" name="piege">

ou solution 2 ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="hidden" name="piege" value="">

Et aussi, pourquoi un nom relativement courant ? ça va influencer le bot ?
Genre j'attribue la valeur "confirmation" à l'attribut "name" ?

[TorF]

Pour utiliser les cases à cocher sans gener l'utilisateur tu peux utiliser la propriété de style display:none

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="checkbox" style="display:none;" ......../>

Peut-être que le robot sera berné et qu'il verra la case à cocher.

[psychoBob]

Bon mais ça fonctionne ce truc ou pas ?

Certains disent que oui sans avoir essayé. D'autres ont essayé et disent oui aussi. Et d'autres font des robots et disent que c'est zéro.

Alors, ça vaut le coup ou pas ?

[Yogui]

À terme, non : les gens qui écrivent les robots finiront par connaître tous ces trucs bidons qui leur pourrissent la vie. Un champ hidden, c'est facile à éviter. Une propriété hidden, pareil.

Je te propose d'utiliser des noms courants comme "nom", "adresse", etc. Prends un nom qui n'a rien à voir avec ton formulaire à toi mais qui est souvent utilisé quand même, des fois que le bot utilise une liste de mots pour chercher les champs à remplir...

N'utilise pas du tout la propriété value="", dans la mesure où le bot pourrait penser qu'il vaut mieux l'éviter (puisqu'elle a déjà une valeur).

[psychoBob]

Citation:

N'utilise pas du tout la propriété value="", dans la mesure où le bot pourrait penser qu'il vaut mieux l'éviter (puisqu'elle a déjà une valeur).

Ah la voilà cette fameuse réponse... merci Yogui.

Bon a première vue, j'ai fait le tour sur d'autres forum, ça m'a l'air plutot bidon comme technique.

Finalement, vu que c'est la zone d'inscription d'un forum, quels types de robots s'intéressent au forum en général ? Pour y faire quoi ?

[TorF]

Sur mon forum phpBB j'avais 2 types de robots :

- Ceux qui s'inscrivaient et placaient un lien publicitaire dans leur compte à la propriété "site perso" (les gars qui ne lâchent rien ).

- Ceux qui postaient des messages remplis de liens publicitaires (pas besoin d'être identifié pour écrire dans mon forum).

Du coup j'ai installé un plugin anti-robot. Il oblige les utilisateurs non identifiés à entrer une série de chiffre écris dans une image, que ce soit pour poster un message ou s'enregistrer. Ca les robots ne savent pas faire. Beaucoup de sites utilisent cette méthode maintenant.


Et toi, quel est ton problème avec les robots ?

[psychoBob]

si ce n'est un robot spammeur sur des formulaires de contact, mon nouvel espace membre n'étant pas encore en ligne, je n'ai pas encore de problèmes.
Je préfère anticiper.

Si on excepte les robots qui ont postés sans être inscrit, combien as-tu eu de posts par des robots inscrits ou combien se sont inscrits ?

[TorF]

Mon forum a fonctionné 2 ans sans robots spammeurs.

Puis un jour un spammeur indélicat a trouvé mon forum. Et là il y avait un robot qui s'inscrivait pas jour. Concernant les posts, ca a rapidement été une dizaine par jour (des posts très moches, remplis d'URL de m****).

Mais j'ai vite bloqué les droits d'écriture des invités pour éviter l'épidémie. Et j'ai mis en place le systeme anti-robot.

Je n'ai jamais eu de robot inscrits qui ont posté.

Si tu as créé ton propre forum, je pense que le risque est très faible de voir de tel robots le pourrir.

[psychoBob]

Citation:

Si tu as créé ton propre forum, je pense que le risque est très faible de voir de tel robots le pourrir.

Parce qu'ils sont programmés pour les forums standards c'est cela ?
Personnellement oui j'ai fait mon propre forum, pour l'avoir bien en main et aussi parce que j'ai vu qu'il y a plein de problèmes de sécurité avec les forums classiques.

**edit**
Spécial et original le site de ton www

Certains points graphiques m'ont interpellé.

[TorF]

Cool ! Je prends ca comme un compliment !
J'espere que ce sont des points positifs qui t'ont interpellé.


Sinon oui, j'imagine que les robots spammeurs ne sont programmés que pour les forums standards (phpBB etc.)

Sinon pour la solution anti-robot, je viens de lire un article à ce sujet : http://www.blog.webatou.be/index.php...cha-accessible
Il déconseille l'utilisation des lettres dans une image pour des problèmes d'accessibiltés. Les mal voyants n'ont pas la possibilité de passer ces tests.
La solution consiste à poser des questions bêtes en texte. "Combien font deux moins un ?" ou "Quelle est la deuxième lettre du mot repas ?".
En plus d'être accessibles, ces solutions sont surement plus faciles à développer...

[psychoBob]

Ok je vais voir le lien.

Pour ton site oui j'ai trouvé qu'il y a une réelle ambiance et c'est un design assez original. Les lignes droites un peu partout sur l'accueil m'ont interpellé, plutot en bien, les gros liens énormes sont un peu spéciaux, mais pourquoi pas après tout ;-)

Les lignes rouges qui font offices de cadres/délimiteurs entre les zones, elles sont en CSS ? Genre border-left : 5px ; border right : none etc... ?

[TorF]

En effet on voulait faire un design original ! Marre des sites qui se ressemblent tous, avec toujours les même menus barbants.
Et l'énorme lien forum nous a bien fait rigolé, et c'est aussi une partie très importante du site.

Sinon tout le design est fait en CSS oui. La page d'accueil est en XHTML strict.

[Space Cowboy]

Citation:

Envoyé par TorF

En effet on voulait faire un design original ! Marre des sites qui se ressemblent tous, avec toujours les même menus barbants.
Et l'énorme lien forum nous a bien fait rigolé, et c'est aussi une partie très importante du site.

Sinon tout le design est fait en CSS oui. La page d'accueil est en XHTML strict.

En même temps c'est ce qu'il y a de plus mieux pour la navigation et c'est ce que je connais de plus ergonomique.
Si tu trouve mieux ...

[TorF]

C'est très bien pour ton genre de site (enfin celui de ton www).

Mais augmente y la taille des fontes, pour voir ce qu'y donne l'ergonomie.