Faut-il abandonner l'antispam par défaut de PluXml ?

2»

Réponses

  • je suis en train de me la prendre aussi en force depuis hier
  • effectivement ce sont des commentaires envoyés automatiquement, depuis plusieurs mois déjà !!! il ya foule de sites qui en sont remplis, même certains dont les 'proprio' ne se rendent pas compte...
    j'ai renforcé déjà un peu de mon côté, et au départ avec " WDD_BanComment " de 'bronco' ça pase déjà beaucoup moins :)
  • Bonjour,

    en effet, recrudescence de spam en ce moment, ce sur mes deux pluXML.
    Pas encore testé, mais je suis tombé là dessus : http://wolfaryx.fr/index.php/2013/03/astuce-anti-spam-pour-les-commentaires/.

    Peut-être une piste ? En plus des captcha.

    Je reste d'avis qu'il faut proposer une solution, même basique, "out of the box".
  • bazooka07bazooka07 PluXml Lead Developer, Moderator
    décembre 2015 modifié
    Bonjour,

    Je suis partisan d'un accès au web pour tout le monde, y compris les mal-voyants. Dans ce dernier cas, cacher des champs avec la feuille de style ne marche pas. Et cela concerne aussi les robots honnêtes utilisés par les moteurs de recherche. Pas sur que la combinaison des mots gender et female améliore le ranking chez Google pour d'honnêtes pages.
    D'ailleurs un bon moyen pour vérifier l'accessibilité d'un site est d'utiliser un navigateur en mode console. Wikipédia en propose les principaux.

    Si je suis un robot et qu'un site me renvoie le mot "spam" quand je poste une réponse à un formulaire, je crie "Youpi, on va se fighter !". Je sors l'artillerie lourder et je bombarde le site de réponses jusqu'à obtenir des mots comme valide ou modération. :D

    Comme bien souvent sur les blogs, les commentaires sont plus intéressants que l'article lui même. Une bonne idée est d'imposer un temps de réponse minimum pour les commentaires. On peut imaginer que si un visiteur met moins de 5 secondes pour envoyer un commentaire, il n'a pas trop pris le temps de lire l'article et donc, c'est le commentaire directement à la poubelle. On peut faire cela en envoyant un cookie avec la réponse de l'antispam.

    Une autre piste serait de compter le nombre d'essais pour envoyer un commentaire. Et au delà d'une limite, de jeter directement le commentaire et d'envoyer un mot magique comme valide ou modération au robot pour lui faire plaisir et qu'il passe son chemin. Je sais : c'est hypocrite mais on n'est pas chez les bisounours.

    Dans Pluxml, on peut améliorer la protection d'origine assez facilement. Avec une lettre, on a une chance sur 26 de proposer la bonne réponse. C'est une probabilité élevée en matière de sécurité. Comme pour les mots de passe, on pourrait autoriser des chiffres et des lettres, ce qui porte le nombre de choix à 36. Le serveur pourrait demander plusieurs lettres. J'ai fait l'essai avec 3 caractères, c'est un peu contraignant. Mais avec 2 caractères, l'effort intellectuel est supportable. On arrive à 36x36=1296 possibilités. On peut doubler les possibilités en demandant les caractères dans un ordre aléatoire, par exemple 4ème et 2ème caractère au lieu de 1er et 3ème caractère. Ce qui mène à 2592 possibilités au lieu de 26 initialement. J'ai déjà codé ce truc. Je peux le mettre le code quelque part ou le proposer dans la version de développement de Pluxml.

    Cordialement
  • Je pense que l'accessibilité est une chose importante et à ne pas négliger.
    J'ai eu des pb de spam mais cela semble se calmer depuis plusieurs semaines. Je continue à modérer les commentaires (j'en ai pas des centaines), mais rien à valider qui ressemble à du spam. Visiblement, l'envie de certains est passée. C'est probablement temporaire mais visiblement le fait de supprimer les spams a un impact sur le comportement des spammeurs.

    Il me semble que Jormum avec son plugin ModerationList se basait sur la navigation et du temps avant de poster un commentaire et cela semblait bien marcher.

    Je n'ai pas vérifier mais forcer la modération des commentaires par défaut sur une installation de PluXml me parait déjà une chose indispensable avec un petit message d'alerte concernant les "risques" (spams et obligations légales).

    Il me semble que quelqu'un avait suggérer de désactiver les commentaires après un xx jours après la publication. C'est pas parfait mais c'est une solution.
  • Les commentaires sont déjà modéré chez moi. C'est impensable de ne pas modérer (malheureusement) de nos jour…
    La vaque de spam actuelle est l'œuvre d'un robot unique (j'ai eu un répit avec le captcha image) ou du moins c'est le même code.
    Et ça concerne de vieux articles pas les récents.

    Pour continuer de répondre à la question : je maintiens que non, et que même perfectible il ne faut pas abandonner l’anti spam par défaut.
    Pourquoi pas permettre de configurer les questions/réponses ?

    On prend des fortunes aléatoire (genre guide du linuxien pervers, ou dans le contexte du site) et on demande la xième lettre du xième mot dans la phrase.
    Ça va compliquer un peu non ?
  • chez moi, le spam était plus présent sur le contenu le mieux indexé par les moteurs de recherche.
    si tu ne laisses passer aucun commentaires, le spammeur passera à autre chose.
  • bazooka07bazooka07 PluXml Lead Developer, Moderator
    Une autre piste serait de filtrer selon l'adresse IP du visiteur. On peut assez facilement connaitre le pays du visiteur et restreindre l'usage des commentaires à certains pays.
    Par exemple, un commentaire fait depuis la Russie me semble d'emblée suspect.

    Quelques liens pour en savoir plus :
    http://www.scriptol.fr/comment/savoir-le-pays-pour-une-ip.php
    https://db-ip.com/api/

    Ceux qui se font spammer leur sites ont-ils la curiosité de regarder les adresses IPs et les user-agent de leurs visiteurs dans les fichiers de logs ?
  • StéphaneStéphane Member, Former PluXml Project Manager
    Filtrer les adresses ip ne sert strictement à rien. tous les vrais spammeurs passent par des proxys avec une nouvelle ip à chaque spam. Sinon c'est pas marrant

    Consultant PluXml

    Ancien responsable et développeur de PluXml (2010 à 2018)

  • Stéphane a écrit:
    Filtrer les adresses ip ne sert strictement à rien. tous les vrais spammeurs passent par des proxys avec une nouvelle ip à chaque spam. Sinon c'est pas marrant
    et c'est bien le cas du genre de spamms que l'on reçoit actuellement, via un programme ou autre script : ils proviennent tous de la même source ( il n'y a qu'à voir leur contenu, ou leur arrivée sur x site ... ) mais ont tous aussi des IP différentes ... !
  • la temporisation sur le commentaire est peut être pas une mauvaise idée. C'est par contre assez pénible, actuellement j'en purge plus de 20 par jour.
  • Bonjour,

    le principe de fonctionnement de l'extension pour Wordpress Antispam Bee peut-il être adapté à PluXml ?
    Ça m'intéresserait dans la perspective de relancer mon projet sous PluXml.
    Hélas, mon niveau en code est sous le niveau des pâquerettes :o

    Mise au point d'un futur site sur serveur local MAMP (MacOS)
    ```Version de PHP : 7.4.2
    Apache/2.2.34 (Unix) mod_wsgi/3.5 Python/2.7.13 PHP/7.4.2
    mod_ssl/2.2.34 OpenSSL/1.0.2o DAV/2
    mod_fastcgi/mod_fastcgi-SNAP-0910052141
    mod_perl/2.0.11
    Perl/v5.24.0

  • Salut à tou(te)s,

    [3615 mylife]
    Je ne suis plus beaucoup présent actuellement sur le forum mais cela ne veut pas dire que je n'utilise plus pluxml.
    J'ai juste beaucoup moins de temps...[/3615 mylife]

    Pour en revenir au sujet, non, il faut laisser un antispam par défaut et mener une réflexion pour améliorer/réécrire celui livré par défaut.

    Pour les fortunes aléatoires, c'est source d'erreur pour le lecteur donc je ne pense pas que ce soit utilisable.

    Il y a l'approche du LionWiki qui est peut-être à creuser et à améliorer ? Il faudrait que je ressorte le code que j'avais utilisé...
    paSlabres a écrit:
    Bonjour,

    le principe de fonctionnement de l'extension pour Wordpress Antispam Bee peut-il être adapté à PluXml ?
    Ça m'intéresserait dans la perspective de relancer mon projet sous PluXml.
    Hélas, mon niveau en code est sous le niveau des pâquerettes :o

    C'est quoi le principe ? Tu peux nous en dire plus ?

    Personnellement, je suis contre l'utilisation d'une solution à la google qui fait qu'on n'a pas la maîtrise des données, qu'on est tracé et qu'on travaille gratos pour eux, même si leur approche est très intéressante (et semble être efficace).
  • Au moins, pour avaler plus facilement, quand tu chercheras une adresse avec Google Street View, tu pourras dire que la précision de l'adresse est un peu grâce à tes réponses à des recaptcha!

    Il y a moyen de ne pas se faire tracer par Google, c'est très clairement expliqué même si ce n'est pas la configuration par défaut, bien entendu...
  • Je suis de l'avis de Jerry, c'est toujours délicat de dépendre d'un service externe qu'on ne maîtrise pas, il faudrait conserver une solution propre à PluXml.

    Et en même temps je t'envoie un salut, Jerry, ça fait plaisir de te voir de retour ! On ne t'avais pas lu sur le forum depuis longtemps, je commençais à m'inquiéter... ;)
  • La "meilleure" solution extérieur reste HoneyPot (y'a un pugin de tête pour PluXml).
    C'est sans traqueur et bien fichu.
    C'est moins "boite noire traqueuse" comme le reCaptcha ou Akismet.
    Un coup d'antiflood à 10 seconde peut aider aussi mais c'est facilement contournable par un robot qui n'a qu'à temporiser, faire ça la nuit hop.

    Antispambee : https://fr.wordpress.org/plugins/antispam-bee/ c'est assez "costaud" et efficace.
    Boîte noire (pas de code source ouvert) mais suisse/allemand donc en théorie plus respectueux de la vie privée que Google/Akismet.
    MArchait pas trop mal par expérience perso et raconté par un autre blog WordPress.

    Je crois que l'antispam absolument le plus puissant reste reCaptcha2 de Google.
    Certains plugins sous WP l'utilisent sur les commentaires, les pages de contact, les pages de login, etc.
    Je l'utilise et je n'ai pas de mauvaise surprise.
    Par contre pas très responsive surtout si on doit passer par la sélection d'images en pop-up.
    Après, faut apprécier un antispam basé en partie sur le tracking des internautes.
    Ne me gène pas pour mon blog, par pragmatisme.
  • HoneyPot n'est pas la panacée. Il fini par être contourné...

    @Francis : Je suis toujours là mais je suis sur un gros projet professionnel qui me prend tout mon temps...
  • Une piste qui serait à creuser, c'est le nuage de mots façon mailInBlack...
  • Jerry Wham a écrit:
    Une piste qui serait à creuser, c'est le nuage de mots façon mailInBlack...
    qu'est ce que c'est ?

    après avoir reçu quelques vagues des spams, je n'ai plus rien depuis quelques mois seulement avec l'anti-spam de pluxml.
    évidemment, je modère les commentaires. vu que je ne laissais plus rien passé, j'imagine que ces personnes se sont lassé.


    une idée serait de pouvoir désactiver coté backoffice le lien vers le site web et caché tous les liens contenu dans le commentaire lui même (en utilisant un regex).
    l’intérêt serait du coup très limité pour le spammeur.
  • Voir : http://www.mailinblack.com/
    Sans reprendre le principe de l'application qui ne fonctionne que pour les mails d'après ce que j'en sais, l'idéal serait de reprendre leur principe de captcha pour vérifier que la personne qui envoie le mail est bien un humain.

    Un champ s'affiche sur une page web avec un nuage de mots entrelacés dont un qui ressort avec une certaine couleur. C'est ce mot là qu'il faut entrer dans le champ pour que la page soit validée (et le mail envoyé).
    La liste des mots est configurable pour coller à l'esprit de l'utilisateur de l'application.
  • c'est une idée à creuser mais niveau accessibilité, je sais pas ce que ça peut donner.
  • Je viens d'essayer en production :
    1) LionCaptcha https://forum.pluxml.org/viewtopic.php?id=6073
    Malgré que le principe semble séduisant, un robot a visiblement rapidement trouvé la faille, le lendemain de l'installation j'avais déjà plusieurs spams.
    2) MyCaptchaImage https://forum.pluxml.org/viewtopic.php?id=5084
    Le plugin n'a pas tardé à se faire spammer régulièrement, dès le lendemain plusieurs spams.

    Bref aucun des deux ne semble vraiment faire mieux que l'antispam par défaut (qui se prend aussi des spams bien sûr).

    J'ai un forum punbb un peu à l'abandon avec la possibilité que des invités puissent répondre aux topics, et bizarrement il s'est fait très peu spammer en de nombreux mois.
    Alors bien sûr, j'avais mis un antispam, un vieux plugin qui permet comme LionCaptcha de faire des questions / réponses qui soient plus difficiles pour un robot que pour un humain.

    Il semblerait que les robots trouvent moins facilement la solution qu'à LionCatcha, mais en y pensant, il y a peut-être un détail supplémentaire qui fait la différence :
    le formulaire n'apparaît pas de suite contrairement à pluxml, il faut cliquer sur répondre pour ensuite avoir le formulaire de réponse, le formulaire est donc caché par défaut.
    Est-ce que le fait d'avoir le formulaire bien visible sur toutes les pages n'aurait-il pas tendance à attirer les robots ?
    Peut-être que Pluxml pourrait s'inspirer de cette idée, ne faire apparaître le formulaire qu'en cliquant sur un lien genre "commenter", comme ça par défaut le robot qui passe sur la page ne détecte pas de formulaire, cela ne bloquera probablement pas tous les robots et certainement pas les spammeurs humains, mais si j'en crois le peu de spams que j'ai sur ce forum comparé à la quantité de spams que j'ai eu sur mes blogs via le formulaire de commentaires, ça semble en éliminer beaucoup de ne pas détecter de suite un formulaire sur la page.
  • Je viens de mettre à jour LionCaptcha. Il utilise maintenant une image et une liste déroulante.
    Le plugin est livré avec des questions/réponses mais il est nécessaire de le modifier afin que l'on ne puisse pas savoir à quelles réponses elles correspondent dans les sources.

    https://framagit.org/plugins-pour-pluxml/lioncaptcha/tree/master
  • Stéphane avait expérimenté le système recaptcha de Google sur son site (était-ce mypluxml ? je ne me souviens plus). Peut-être a-t-il laissé une ébauche de plugin quelque part ?

  • Quelqu'un aurait testé ma nouvelle version de LionCaptcha ?

    https://framagit.org/plugins-pour-pluxml/lioncaptcha/tree/master

  • Kube17Kube17 Member

    En effet l'antispam en texte uniquement se fait vite avoir par les bots.

    MyCaptchaImage je n'avais pas de soucis particulier. Mais bon maintenant je passe par des commentaires externes (protégés par ReCaptcha2) donc j'ai plus du tout de soucis.

    À voir.

    FR/EN MP - Mail - unkorneglosk.fr - Twitter - Je suis modérateur, je dois donc modérater. Ou modérationner. Ou je sais plus. Mais je le fais. En ce moment j'ai des problèmes d'accès à internet je peux mettre du temps à répondre.

  • SudwebdesignSudwebdesign Member
    septembre 2019 modifié

    Oui @Jerry Wham, mais il y a quelques coquilles, regarde du coté des demande de fusions 😉

    Il est en service sur mon site (il reste les questions pour les humains a modifier, et je kiffe celles des robots)

    [édit] Idée de wall-e d'adhésion : est-ce une bonne idée de lui adjoindre un champs factice

    Notre temps est la seule monnaie vraie ;)

    Site, Dépôt, framagit, MyShop, Factux

    #mozinor président

  • Salut a Tou(te)s,

    LionCaptcha est en v2.0.2 sur mon framagit et semble très bien tourner maintenant 😉

    • Fixé : problème (parfois) de doublon du numéro de question a choisir (une vraie et une fausse)

    2.0.2 - 2020/03/04

    [+] Definition des constantes de langues remanié

    [+} Langue : selecteur des Propositions... >>> Veuillez choisir la question ici...

    Fix Config : Bulle d'aide (hint) du champ "dossier" qui est caché par "ex:LionCaptcha" + placeholder avec PluXml 5.8.2

    Fix Public : Il arrive parfois qu'il y est deux fois le même numéro ds le choix des question (fausse + réele)

    : Classe LionCaptcha : Funk rand() : if remanié et récursivité simplifié (boucle for supprimé)

    : On evite de retourner des numéros avec celui de la question rééle.

    : - if (strpos(str_pad("$random",2,0,STR_PAD_LEFT),"$pos") !== false || strpos(str_pad("$random",2,0,STR_PAD_LEFT),"0") !== false) {

    ::: TO

    : + if ($random == $pos OR !$random) {


    @Jerry Wham : Le Merge request est a jour

    On va vérifié que les Bots N'y comprennent rien... il est en place sur mon site ;)

    + Grand merci pour le partage de l'idée 🤗

    Notre temps est la seule monnaie vraie ;)

    Site, Dépôt, framagit, MyShop, Factux

    #mozinor président

  • Merci pour la mise à jour de LionCaptcha mais est-il plus efficace que CaptchaImage ?
    J'ai mis captchaimage et ça m'arrive encore de devoir modérer certains spams en anglais.

Connectez-vous ou Inscrivez-vous pour répondre.