Myriad Blog 1.3.0 Sunday, Dec 21st, 2014 at 08:32pm 

Monday, Jun 12th, 2006 at 04:49pm
Spam, spam, spam...
A me lire, on pourrait croire que je suis devenu un monomaniaque du spam, et que je passe plus de temps à chercher des moyens de l'éviter que cela ne m'aurait pris à le traiter manuellement.
Hélas, ce n'est pas le cas.  
On peut percevoir actuellement des évolutions, qui ne laissent rien présager de bon.
 
Posons-nous la question: quel est le but des spammeurs ? Que leur message soit lu par un maximum de personnes, peu importe le moyen, à condition que ce soit gratuit. Les considérations déontologiques ou morales, ils s'en fichent comme la première pilule d'aspirine colorée à l'encre qu'ils ont vendue en tant que viagra. S'il pouvaient se faire un peu plus de fric en pourissant tous les courriels de l'association des orphelins myopathes victimes de l'amiante lors de la journée de promesses de dons, ça ne leur ferait ni chaud ni froid.
 
Mais maintenant que de plus en plus de boîtes aux lettres électroniques sont protégées pas des filtres anti-spam performants, l'opération perd de son efficacité. Et lorsqu'arrivera le jour où tout le monde en sera équipé, ce sera la fin du spam tel que nous le connaissons.
 
Alors, quel moyen pour toucher un maximum de personnes, si ce n'est le mail ?  
Leur réponse semble être: les forums et les blogs.
On peut raisonnablement prédire que dans un futur proche, la proportion de spam sur ce genre de média se rapprochera de celle actuellement constatée sur le mail. Un taux proche de 50% n'est pas irréaliste.
 
Il suffit que des personnes soient payées pour se balader sur le Web, et pour poster le spam sur un maximum de forums de discussion, blogs, livres d'or, ou au travers des systèmes de messages privés.
Pour l'instant, beaucoup de spam de ce type est réalisé "à la main".
 
Cependant, ces derniers jours, on assiste à une recrudescence importante des automates.
Il s'agit de programmes, qui parcourent le Web à la recherche de forums ou de blogs utilisant des types de logiciels connus. Le programme crée alors automatiquement un compte (le spammeur dispose d'une bonne quantité d'adresses e-mails anonymes pour la réponse), récupère le mot de passe renvoyé par courrier électronique, l'utilise pour entrer dans le forum, et poste le message.
 
Mais, plus inquiétant, certains s'arrêtent juste après la création du compte, et en créent ainsi plusieurs, sans poster aucun message. Ces pseudonymes "dormants" sont probablement destinés à laisser au spammeur de nombreuses portes ouvertes sur les forums, afin d'être capable de poster en un instant l'annonce pour laquelle ils ont été payés, en plusieurs milliers d'exemplaires.
 
Dans les 15 derniers jours, environ 50 à 60 inscriptions de ce type ont été recensées sur notre forum de discussion. Certains pseudos avaient été utilisés pour s'inscrire sur plus de 200 000 forums différents au hasard de la toile!
On peut considérer, sur le mois dernier, que 60 à 80% des nouvelles inscriptions à notre forum ont été réalisées par des spammeurs.  
 
J'ai dû rapidement supprimer tout ça, et mettre en place un filtre permettant d'éliminer le plus gros d'entre eux lors de l'inscription. En deux jours, ce filtre grossier a bloqué une bonne dizaine de ces inscriptions, et en a laissé passer deux, que j'ai bannies ou supprimées manuellement.
 
Nous allons donc probablement nous résoudre à appliquer des méthodes plus drastiques contre la création automatique de compte d'utilisateur, aussi bien sur nos forums que sur ce blog.
 
Lors de l'inscription, au lieu de renvoyer simplement un message donnant le mot de passe, il s'agira d'un message contenant une phrase du type: "Merci de décrire succintement le thème du forum, et ce que vous espérez y trouver dessus".
Ce n'est que lors de la réception de la réponse, et après un contrôle manuel, que l'inscription sera validée et le mot de passe envoyé.
Ainsi, seul un opérateur humain, sachant de quoi traite notre forum, et disposé à passer plus de 10 secondes à répondre, pourra s'inscrire.  
 
Cela devrait déjà éliminer pas mal de nuisibles.
by Olivier Guillion
Comments

Comment from Franck Tuesday, Jun 13th, 2006 at 10:08am
(No subject)
Un inconvénient de ton système (mais il y en a d'autres), c'est que l'internaute qui s'inscrit pendant que vous dormez risque de perdre patience. A moins que vous ne comptiez utiliser vous-mêmes un robot capable d'analyser sa réponse et de la juger pertinente, il faudra vous mettre aux trois huit.
Pour faciliter la tâche d'un tel robot, une question appelant une réponse précise sera peut-être une meilleure solution que la rédaction d'une lettre de motivation. Exemple : citez trois logiciels que nous éditons.
En outre, l'inscription dans un forum est toujours un peu ressentie comme le dévoilement de renseignements d'ordre privé. Une vérification de ce type n'en rajoute pas dans ce sens, et si vous expliquez cette démarche dans le message, l'internaute vous saura même gré de prémunir le forum contre les incursions malveillantes.

Comment from php Tuesday, Jun 13th, 2006 at 08:40pm
Et la validation visuelle ?
Un système qui s'est répandu dans les forums et désormais dans les blogs est la validation visuelle par l'internaute. Un petit code de quelques lettres ou chiffres apparaît à l'écran que l'internaute doit lire et recopier. Cela doit normalement bloquer les robots qui ne sont pas encore capables de reconnaître ces caractères...

Comment from Olivier Guillion Wednesday, Jun 14th, 2006 at 05:23pm
Robot & validation visuelle
A Franck:  
oui, en effet, un système automatique, ça serait plus simple pour nous, mais je ne suis pas certain de pouvoir trouver des questions type QCM auxquelles n'importe quelle personne qui vient sur nos forum ou sur le blog soit capable de répondre...
 
A php:  
Le système de validation visuelle comporte deux problèmes principaux:  
 
1- Il n'est pas adapté aux déficients visuels (claviers braille) , ce qui obligerait à proposer une alternative audio multilingue. Ce n'est pas envisageable.
 
2- Sur ce blog par exemple, l'espèce de crétin qui poste deux fois par jour une pub pour des çonneries de téléphone, il le fait à la main, car ce blog n'est pas un produit tout fait. Il n'y a donc pas de robot qui puisse l'attaquer. Donc recopier 5 lettres, ce n'est pas ça qui va le gêner...

Comment from Jean-Armand Wednesday, Jun 14th, 2006 at 10:02pm
Validation visuelle
J'ai eu l'occasion il y a quelques jours de tester le module de validation visuelle sur le site de Microsoft - j'avais quelque-chose à télécharger.
 
Et bien, leur module est à la limite de la faisabilité pour un humain. A la première tentative je me suis trompé (malgré une vue sans défaut). Comme ils réaffichent un code différent à chaque fois, la plaisanterie est vite agaçante. Bon, à leur décharge, leur site doit être copieusement attaqué...

Comment from Sylvain Machefert Thursday, Jun 15th, 2006 at 08:25am
Validation visuelle
La validation visuelle pose problème aux mal ou non-voyants pas à cause du clavier braille, mais tout simplement parce que c'est une image.
 
Une image est traduite en son équivalent textuel si la balise <img ... /> contient un alt="texte alternatif"
 
Une synthèse vocale ou une plage braille (lecture ligne par ligne de l'écran sur un bidule qui braille) va lire le texte alternatif... Mais du coup un robot sera capable de le lire.
 
Le module de validation dans les forums PHPBB est très lisible par un humain même avec une faible vision. Les lettres sont grosses, en gras, et non distordue, elles ont simplement de multiples point noir et blanc, c'est la vision d'ensmble qui fait voir les lettres.
Mais certains sites ont des images super tordues, et là je galère...
 
A noter que si on fait un QCM, il faut éviter les questions du genre "Quel est le nom de notre société ?" 1) Myriad, 2) Miriad, 3) Myriade
bref des réponses phonétiquement identiques, ou des questions concernant l'orthographe.
Les non-voyants utilisateurs de synthèse vocale ne feront pas la distinction, et les mots qu'ils n'ont pas vu, il les orthographie souvent mal (les mots informatiques, les noms propres). D'ailleurs je suis prêt à parier que certaines synthèses vocales prononcent "miria" au lieu de "myriade" parce qu'en Français un d final ne se prononce pas.

Comment from Franck Friday, Jun 16th, 2006 at 11:46am
Validation
Bah, en QCM les questions utilisables ne manqueraient pas :
 
Un intrus s'est glissé dans ces quatre propositions :
A. Didier
B. Olivier
C. Bananier
D. Sylvie
 
... et dans ces quatre autres :
A. Harmony Assistant
B. Virtual Singer
C. Melody Player
D. Tomb Raider

Comment from Olivier Guillion Friday, Jun 16th, 2006 at 01:06pm
QCM
Oui, et j'en ai une autre:  
Trouvez l'intrus:
 
- Bozo
- Achille Zavatta
- Franck Aguila
- Les Fratellini
- Vladimir Poutine
 

 
En fait, je me demande si la solution la plus simple ne serait pas de laisser l'inscription telle qu'elle est, mais de modérer le premier post de chaque nouvel utilisateur sur le forum, ou son premier message privé, en l'examinant manuellement et en le validant.
 
D'accord, ça ferait un délai, mais seulement au 1er post, et ce serait l'assurance que personne d'autre que nous ne voie le spam/scam (et nous, on y est habitués).


Most recent first
Oldest first

Top of page
Last update:  (c) Myriad