Protezione antispam per guestbook e blog
Autore: Fabio B.
Visite 2425,
Followers 1,
Condiviso 0
Quando finalmente sarà stato implementato il riconoscimento dell'IP dei mittenti e la gestione della blacklist nel pannello di amministrazione, suggerisco di aggiungere le seguenti misure:
- introdurre vicino ai bottoni "elimina" e "disapprova" per i commenti anche un bottone "segnala come spam" che invii in un database di Answer l'indirizzo IP del messaggio ed anche l'orario di inserimento (al fine di tracciare la statistica temporale delle infestazioni)
- la creazione di un database su Answer dedicato alla raccolta di ip molesti da tutti i siti fatti con wsx5 e non al fine di creare una lista scaricabile in csv di utilità comune a tutti gli utenti del programma
- inserire nel pannello di controllo la funzione import/export della blacklist in formato csv
- inserire la possibilità di disabilitare il bottone "segnala come abuso"
Postato il
Per un attimo ... ho tremato!!!
Autore
Golia che trema davanti a Davide? stavolta ho fatto il bravo, ehh?
Colgo ancora l'occasione en passant per inserire una riflessione dell'ultim'ora:
il metodo da me applicato nel post http://answers.websitex5.com/post/46089
paradossalmente può trasformare il suo principale difetto (il fatto di lasciarsi colpire passivamente dallo spam) nel suo più grosso pregio, perchè, senza inficiare il funzionamento in corso del guestbook, permette di assimilare i dati necessari alla costituzione del database di cui sopra.
Come dire che il sangue infetto porta in sè la materia prima necessaria a studiare e sintetizzare la cura per successive approssimazioni: gli agenti infettanti stessi.
Si, la tua riflessione non è del tutto sbagliata, ma ... se prendi, ad esempio, il servizio offerto da stopforumspam, hai un db già pronto e con oltre 39 milioni di spammers.
Sul nostro forum, in un anno ho bloccato 3500 spammers diversi in maniera del tutto automatica, moltissimi dei quali ritornano periodicamente anche 100/200 volte, e solo una ventina sono rimasti bloccati da me manualmente.
Le tue proposte sono buone, anche se per quella dell'ip, avevo fornito anche il metodo in un topic aperto qualche mese fa.
http://www.unofficialwsx5.com
Autore
Buongiorno Serzio, ho appena guardato il sito che dicevi e a beneficio di tutti quelli che leggono metto qui il link: http://www.stopforumspam.com/
Purtroppo però il sito non è fruibile in italiano e non capisco se esista e come la possibilità di scaricare il loro db.
Comunque, per rispondere a quel che dicevi tu: anche se fosse possibile scaricare il loro db (e nel caso bisognerebbe vedere in che formato) allo stato attuale non potremmo farcene un granchè perchè prima bisogna creare la blacklist nel pannello di controllo dei siti.
Inoltre vuoi mettere la comodità di pigiare un bottone vicino al commento spam per inviarlo al db, invece di caricarsi dello sbattimento di collezionare i dati degli spammer per inserirli manualmente nel db di quel sito? A quel punto si rende necessario che abbiamo il nostro db di Answer (che ci consenta di compilare la BL per il nostro sito web manualmente, cioè scaricando il csv ed importandolo magari dopo averlo personalizzato con inclusioni/esclusioni non canoniche, oppure automaticamente sincronizzando la BL del nostro sito web col db di Answer in cloud).
E poi, immagina che qualcuno sia così in gamba da far finire il tuo IP nella BL ufficiale: a chi ti rivolgi e con quali tempi tecnici per cavarti fuori dalle conseguenze? Non è meglio avere un interlocutore come Incomedia?
Autore
Comunque il db di stopforumspam, se è possibile scaricarlo può essere subito integrato come base di partenza per quello di Answer e per chi ha cPanel con la possibilità di gestire l'IP Deny Manager anche nel proprio sito (sempre che non rallenti troppo il server sovraccaricandolo di lavoro). Lascio a te l'ultima parola perchè ne sai di gran lunga più di me.
mica lo devi scaricare il db di stopforumspam, lo devi integrare con delle chiamate API http://www.stopforumspam.com/usage
Autore
in pratica? una volta ricevuto e identificato un IP spammer bisogna digitare nella barra degli indirizzi del browser http://www.stopforumspam.com/api?ip=xxx.xxx.xxx.xx
e aspettare che quell'ip venga confrontato col db per sapere se ce l'hanno o no? Ho capito bene? Ma si può automatizzare la cosa facendo fare questa domanda al nostro server prima di accettare il commento invece di farla dopo e manualmente? Come?
Calma, non facciamo confusione. Non devi scaricare nulla, si tratta di un "servizio" gratuitamente utilizzabile (entro certi limiti) e facente uso di un db mantenuto regolarmente aggiornato dagli utenti registrati mediante le proprie segnalazioni. Oltretutto, se pure tu riuscissi a scaricarlo, risulterebbe obsoleto già dopo pochi giorni e quindi poco utile.
L'IP Deny Manager che hai nominato è scarsamente utilizzabile per questo scopo e sicuramente poco e nulla versatile.
La cosa migliore è quella di effettuare la "chiamata" al servizio per l'interrogazione al DB e la valutazione della risposta. Se il servizio non risultasse attivo o mandasse in timeout la richiesta, al massimo avresti l'accesso di un bot. A me è successo molto raramente, complessivamente ho subito accessi non "umani" in percentuale inferiore all' 1% ... 0,68% per l'esattezza ... nell'intero ultimo anno e per ip unici (ovvero non ho considerato gli accessi multipli da uno stesso ip, altrimenti sarei stato prossimo allo zero), compresi i casi di bot ancora non segnalati e che ho provveduto a segnalare io stesso.
in pratica? una volta ricevuto e identificato un IP spammer bisogna digitare nella barra degli indirizzi del browser http://www.stopforumspam.com/api?ip=xxx.xxx.xxx.xx e aspettare che quell'ip venga confrontato col db per sapere se ce l'hanno o no? Ho capito bene?
No. Tu non devi digitare nulla, ci pensa la procedura a farlo. Tu devi solo preparare la procedura utilizzando un codice simile a quello che ho proposto io nel topic già indicato (si tratta di poche righe in php).
La pagina in php, prima di essere visualizzata nel browser, interroga il "servizio" e dirotta il browser verso una pagina diversa se l'accesso deve essere negato. Per la verità, nell'esempio di modifica al gb, credo di aver usato la procedura solo per evitare la pubblicazione del form per l'immissione dei commenti lasciando la visione del guestbook completamente libera per tutti.
Ma si può automatizzare la cosa facendo fare questa domanda al nostro server prima di accettare il commento invece di farla dopo e manualmente? Come?
Si, lo puoi fare, ma come ti ho spiegato, avere il db in locale sarebbe meno efficiente di un db costantemente aggiornato e su un server sicuramente più veloce di un normalissimo "shared hosting" da quattro soldi. Considera che su tophost, un forum con dieci utenti simultanei ed attivi crea già problemi di sovraccarico ... provato io stesso.
http://www.unofficialwsx5.com
Autore
insomma: meglio integrare in Admin la chiamata dal nostro server al server dedicato di Answer in cloud, sia per tenerlo noi aggiornato sia per fare il controllo degli ip sia per sapere a chi far capo in caso di problemi.
Anche perchè il metodo proposto da stopforumspam non mi sembra davvero così immediato da essere alla portata dell'utente medio di WSX5; bisogna essere già esperti.
Autore
Stavo pensando anche che in realtà per alleggerire il carico di lavoro del server dedicato di Incomedia trasferendo l'onere dei controlli ai nostri singoli servers condivisi basterebbe una BL non completa ma ridotta.
Mi spiego meglio: il mio sito potrebbe contenere in Admin un file php che dice al mio server:
"con cadenza giornaliera contatta il server blacklist.incomedia.com, scarica il file blacklist_ridotta.csv e sostituiscilo in locale"
Il file blacklist_ridotta.csv potrebbe essere compilato 1 volta al giorno con uno script sql da blacklist.incomedia.com prendendo gli ultimi 200 ip inseriti, quindi attivi, tra quelli segnalati da noi (quindi in ordine cronologico inverso e presi una volta sola).
Naturalmente in Admin bisognerebbe anche mettere un bottone di "aggiornamento" manuale della lista ridotta (come la chiamata manuale del semaforo) ed un altro bottone che dice "ricontrolla tutti i messaggi".
Autore
Mi correggo:
Il file blacklist_ridotta.csv potrebbe essere compilato subito dopo ogni nostra segnalazione di messaggio spam, così anche l'aggiornamento manuale potrebbe essere immediatamente efficace invece di attendere 24 ore.