Imagine que tu aies des champs:
Nom, Prénom, Adresse
Tu te fais spammer violemment. Première technique pour repérer les
méchant robots, tu ajoutes des champs aléatoires que tu caches par
une méthode de ton choix pour que les utilisateurs ne les remplissent
jamais. Tu as maintenant:
Nom, Prénom, inczue, Adresse, sdkjfhz, icuznze
Un robot basic ne va pas se rendre compte que les deux derniers liens
ne sont pas visible et ne doivent donc pas être remplis. Ils vont mettre
des trucs dedans et tu vas les avoir.
Maintenant, si un spammer humain passe par là, il va se rendre compte
du problème et il va régler le robot pour qu'il ne remplisse que les champs
Nom, Prénom et Adresse.
La technique avec variable de session consiste à envoyer
- czieuf, zleriounc, eziud, sermo, cszezosiu
en stockant sur le serveur la correspondance
Nom=zleriounc; Prénom= sermo; Adresse= cszezosiu
La seule façon pour savoir qui est qui force à calculer quels sont les champs
visibles et quels sont les champs invisibles.
Le problème, c'est qu'il faut utiliser des variables de session et certains peuvent
ne pas vouloir faire ça. Or, on peut faire la même chose SANS variable de
session.
On envoie le formulaire avec les champs
czieuf, zleriounc, eziud, sermo, cszezosiu
et en plus, on ajoute une variable cachée toto qui contient
la traduction des noms des champs.
Sauf que comme on est pas con, on chiffre toto avec une clef
secrète pour que le bot ne puisse pas accéder à la traduction
Le robot ne sait pas déchiffrer toto et il ne sait pas non plus modifier
toto pour choisir lui même les bons champs.
Il faut cependant faire quand même attention à une chose, si le
spammer humain passe par là, il peut très bien noter le nom
des champs et la variable toto et décider de toujours utiliser ces
variables. Pour éviter cela, il suffit de changer très souvent les
clefs de chiffrement (toutes les n minutes). Pour éviter le problème
du gars qui charge la page 10 secondes avant la révocation de la
clef, et qu'on va envoyer chier on utilise 2 clefs qu'on entrelace.
Ainsi, on est assuré que la clef utilisée dans une page fonctionnera
entre n et 2n minutes.
[^] # Re: Le spam, l'autre sens de la vie...
Posté par fmaz fmaz . En réponse au journal Comment font les spammeurs de blogs ?. Évalué à 5.
Nom, Prénom, Adresse
Tu te fais spammer violemment. Première technique pour repérer les
méchant robots, tu ajoutes des champs aléatoires que tu caches par
une méthode de ton choix pour que les utilisateurs ne les remplissent
jamais. Tu as maintenant:
Nom, Prénom, inczue, Adresse, sdkjfhz, icuznze
Un robot basic ne va pas se rendre compte que les deux derniers liens
ne sont pas visible et ne doivent donc pas être remplis. Ils vont mettre
des trucs dedans et tu vas les avoir.
Maintenant, si un spammer humain passe par là, il va se rendre compte
du problème et il va régler le robot pour qu'il ne remplisse que les champs
Nom, Prénom et Adresse.
La technique avec variable de session consiste à envoyer
- czieuf, zleriounc, eziud, sermo, cszezosiu
en stockant sur le serveur la correspondance
Nom=zleriounc; Prénom= sermo; Adresse= cszezosiu
La seule façon pour savoir qui est qui force à calculer quels sont les champs
visibles et quels sont les champs invisibles.
Le problème, c'est qu'il faut utiliser des variables de session et certains peuvent
ne pas vouloir faire ça. Or, on peut faire la même chose SANS variable de
session.
On envoie le formulaire avec les champs
czieuf, zleriounc, eziud, sermo, cszezosiu
et en plus, on ajoute une variable cachée toto qui contient
la traduction des noms des champs.
Sauf que comme on est pas con, on chiffre toto avec une clef
secrète pour que le bot ne puisse pas accéder à la traduction
Le robot ne sait pas déchiffrer toto et il ne sait pas non plus modifier
toto pour choisir lui même les bons champs.
Il faut cependant faire quand même attention à une chose, si le
spammer humain passe par là, il peut très bien noter le nom
des champs et la variable toto et décider de toujours utiliser ces
variables. Pour éviter cela, il suffit de changer très souvent les
clefs de chiffrement (toutes les n minutes). Pour éviter le problème
du gars qui charge la page 10 secondes avant la révocation de la
clef, et qu'on va envoyer chier on utilise 2 clefs qu'on entrelace.
Ainsi, on est assuré que la clef utilisée dans une page fonctionnera
entre n et 2n minutes.