Spam dans les commentaires : bataille!
23 août 2010
Mathilde
Certains sites hébergés par UGAL ont été victimes d'attaques massives de spam dans les commentaires ces derniers jours. Une fois encore. La situation était telle que nous avons dû fermer les commentaires pour ces sites.
Nous savons combien le spam est pénible et nous avons conscience de la perte de temps qu'il génère. Nous tenons donc à vous remercier pour votre patience, le temps que nous mettions en place un nouveau système de protection antispam.
Nous sommes heureux de vous annoncer qu'une nouvelle protection anti spam est en place pour tous nos sites et que les commentaires ont été rouverts. Notre nouvelle méthode de protection est efficace tout en permettant à vos visiteurs de poster des commentaires facilement.
Qu'est que le spam des commentaires?
Le spam des commentaires est du spam que des robots postent sur des formulaires HTML qu'ils trouvent sur Internet. Il s'agit de n'importe quel formulaire : commentaire sur des blogs, formulaires de contact, demande d'information produits... Peu importe, les robots sont simplement contents de pouvoir remplir des champs avec leurs "messages". Des millions de formulaires sont ainsi soumis automatiquement toutes les heures et, même avec un très faible pourcentage de clics sur les liens postés, les robots ont ainsi une chance de générer de l'argent avec leur business véreux.
Comment fonctionne la nouvelle protection?
Notre objectif était de compliquer la tâche aux robots, sans changer l'ergonomie pour les utilisateurs légitimes. C'est la raison pour laquelle nous n'avons toujours pas opté pour la méthode des Captcha. Nous avons donc mis en place d'autres méthodes que les robots n'apprécient pas :
- Javascript : les formulaires sont désormais en ajax. Il est connu que les robots ne maîtrisent pas bien le Javascript, c'est donc une première barrière à passer.
- Les noms des champs des formulaires (dans le code HTML des sites) sont maintenant camouflés et changent à chaque nouvelle requête sur les pages. C'est donc plus difficile pour les robots de détecter un champ "email" puisque le nom du champ n'est plus "userEmail" mais par exemple "F8336290227B801".
- Honeypots : Cette méthode (pots de miel) consiste à insérer dans les formulaires de faux champs qui ne sont pas visibles par les utilisateurs. Les robots eux ne font pas la différence et remplissent donc ces champs. Ils sont bêtes ces robots. UGAL détecte ainsi les robots grâce à ce subterfuge et marque alors les commentaires concernés comme spam.
- Timers : Les robots sont beaucoup plus rapides que les êtres humains. Quand nous constatons qu'un formulaire a été rempli trop vite, nous le marquons comme spam.
- Validation du contenu : si toutes les étapes ci-dessus ont été validées, nos serveurs envoient alors le contenu pour analyse à un service antispam. En moins de 200 millisecondes, nous recevons la réponse : spam ou ham. Le service que nous utilisions jusqu'à présent n'ayant pas donné satisfaction, nous avons changé pour l'antispam de TypePad. Cet antispam a une excellente réputation, on va voir ce que ça donne pour UGAL.
Et après?
Nous surveillons les résultats depuis la mise en place de cette nouvelle protection. Sur les dernières 48 heures, cela semble très efficace: moins de tentatives de spams, tous les spams sont détectés correctement, et seuls les vrais commentaires ont passé la vérification.
Nous espérons que cette nouvelle protection sera efficace sur la durée, ce qui nous permettra de concentrer nos efforts sur des développements plus positifs...
Merci encore pour votre compréhension. Les commentaires ci-après sont ouverts, n'hésitez pas à les utiliser ou à nous contacter pour toutes questions
Pour info, tout à l'air de bien se passer, les bots n'arrivent plus à créer des inscriptions automatiques à la Newsletter ou à remplir les formulaires des commentaires des news, fiches produits et page contact. La plupart des bots n'arrivent plus au formulaire à cause du chargement par Ajax/Javacsript, et ceux qui y arrivent remplissent les pots de miel. Tous les commentaires qui ont passé ces tests sont pour le moment valides (aucun n'a été marqué comme spam à cause de son contenu).
Donc c'est bien pour le moment, attendons de voir comment ça progresse.
Merci bien ! ça a l'air de marcher pour moi. Je n'ai plus de soucis pour le moment !
Iziar
Merci Itziar pour ton commentaire. Je confirme que le nouveau système a l'air très efficace..pourvu que ça dure.
Merci pour votre réactivité. J'ai l'impression effectivement que la nouvelle protection est efficace. Une fois de plus, j'ai été agréablement surpris par le professionnalisme de l'équipe, aussi bien au niveau des décisions que vous avez dû prendre pour la sécurité de tous, l'information qui a été faite et la rapidité avec laquelle la solution a été trouvée et recommuniquée. Bravo.
Bonjour,
Même si mon intervention est (très) tardive, votre article est toujours d'actualité puisque les spams en commentaires sont toujours de véritables plaies!
Beaucoup de blogs WordPress sont équipés de l'extension Akismet qui s'avère aujourd'hui totalement inutile puisque nombre de spams passent au travers des mailles du filet et de plus en plus de vrais commentaires passent à la trappe, ce qui a le double don de fâcher les lecteurs et de donner un travail de modération supplémentaire au blogueur.
De plus, le principe même de l'application (partage d'un fichier d'adresses mail) est strictement interdit en France, alors je conseille vivement à tous ceux qui l'utilisent de le remplacer par NoSpamNX qui lui fonctionne sous le principe des Honeypots et qui me donne entière satisfaction.
Cordialement,
Bruno