大富豪家2.0の日記全体に公開

2006年05月04日
13:19		  コメントSPAM対策
本棚.orgへのコメントSPAMが続いているので、「ページ内でクリックなどのマウス操作が行なわれた直後だけ書き込みCGIを許可する」という方法を導入してみようかと思うのだが、こんなので対策になるものだろうか?
 

コメント    

2006年05月04日
13:53
i16(愛一郎)@一陽來復
まあある種ヨサゲですが、あそっかセッションでさえナイんですね。。。。(笑)
何か操作したやつに無料整理券クーポンを渡す(セッションにとして認識する)方式でなく??(^^;;
2006年05月05日
07:34
FUZZIO
画像番号認証させる
指定時館以内に連続投稿を禁止する
英文の投稿を禁止する
IPをブロックする
コメント内KWをブロックする(無料、出会い、女子高生など)

とかね。むかつきますよね。
2006年05月06日
17:33
イヌッチ
はじめまして。
cgiの掲示板ですが、テキストエリア内にデフォルトで下記の
数行を入れています。

 【この行は削除しないでください(スパム対策)】
 
 ---この行を削除して投稿開始---

はじめの行が投稿に含まれなかったらスパム。
最後の行が投稿に含まれたらスパム。
スパムでない場合は、はじめの行をcgi側で削除して
投稿を受け付ける、としています。
今のところ、1ヶ月たちますがスパムはまったく
なくなりました。

画像番号入力よりもユーザの負担が少なく(1行削除するだけ)
実装も簡単だったのでまあまあうまくいってますが、
スパムだけでなく普通の投稿も減りました。
やっぱり面倒なのか、やり方がわからないのか。。。
2006年05月06日
17:42
大富豪家2.0
> 画像番号認証させる

これは面倒ですよね。

> 指定時館以内に連続投稿を禁止する

投稿頻度は高くないのです。

> 英文の投稿を禁止する

日本語のも多いんです。

> IPをブロックする

コロコロ変わってるみたいなんです。

> コメント内KWをブロックする(無料、出会い、女子高生など)

これでいけるかと思いましたが、これまたコロコロ変わってるようで...

> スパム対策

とか書くのは嫌ですよね。

というわけで、なんらかのユーザ操作が有った場合だけ投稿許可という方法を考えたわけですが、マズいことはあるでしょうかね?
2006年05月06日
23:24
i16(愛一郎)@一陽來復
基本的に「やってみて結果を教えてください」ですけど(笑)
2006年05月06日
23:36
大富豪家2.0
現在実験中です。
2006年05月07日
05:30
大富豪家2.0
SPAMはリファラが空になってますな... それ見るだけで充分だったりして?
2006年05月07日
08:27
i16(愛一郎)@一陽來復
Webダウンローダみたいのはリファラ吐くのがありますがコメントスパマー(?)はまだそういう仕掛けが発達してないんですね。みんなが対策すると攻撃側も発達してっちゃうというのが不便なところかなあ。独自対策であれば緩い対策でもピンポイント攻撃以外は防げるんですけどねー。共通の対策だと暗号強度を上げるみたいな必要がでてくるんでしょうねー。
2006年05月07日
15:52
大富豪家2.0
IEからブックマークレットで登録しようとするとリファラが出ないことが判明! 困るなぁ... UserAgentも見て雰囲気で判定するしかないのかしらん...
2006年05月07日
16:05
i16(愛一郎)@一陽來復
ブックマークから行ったら出ませんわなー。ブックマークでなくてブックマークレットかー。ブックマークレットでリファラが出ても変だし。変だしっていうかどういうリファラを出せばいいんだろう逆に。
2006年05月07日
16:09
大富豪家2.0
Firefoxだともとページがリファラになるみたいっす。
2006年05月07日
16:37
イヌッチ
セキュリティソフトでリファラを空にするデフォルト設定の
やつがあった気がするので、リファラでの判断はやめました。。。
2006年05月07日
16:48
i16(愛一郎)@一陽來復
リファラがない奴は改めてオマエは人間か?と問い合わせるとかで。
2006年05月07日
16:52
大富豪家2.0
それは良いかもしれませんね!
2006年05月07日
21:54
大富豪家2.0
いろいろ対策してるのに今日は来ないな... 気付かれたのかな?
2006年05月07日
22:10
i16(愛一郎)@一陽來復
ここ読んでたりして(笑)
2006年05月07日
22:39
大富豪家2.0
そんな気が!
2006年05月07日
23:31
FUZZIO
僕は送信元IPをブロックして(クラッキングされてる)いまの所、無事です。。。
2006年05月08日
08:50
大富豪家2.0
変なの書き込まれるだけじゃなくてシステム自体のクラッキングですか? それはヤバいですが普通のセキュリティ対策をすればいいということなんでしょうか。

SPAMには正しいリファラとUserAgentがついてたので、これで区別はできないことがわかりました。しかし画面クリックは検出されませんでしたので、ユーザのクリック操作を検出する方式が有効そうに見えます。今日は何故かSPAMがあんまり来ないので確かではありませんが。ユーザクリック操作まで自動化されるようなら、内容で判断するかCAPTCHAみたいなのを導入するしかないんでしょうかね。
2006年05月12日
14:01
大富豪家2.0
報告:

* 変なリファラを持つ書込みは排除
* 書込み直前に画面クリックが検出されなかったものも排除

という対策で今のところうまくいってるようです。画面クリックまでシミュレートする奴がるとも思えないので、こんなところでOKなのでは。
2006年05月23日
09:25
i16(愛一郎)@一陽來復
「ちぇっくはずさないとかきこめません」というのを見た。かんたんでいいかも。
2006年05月23日
09:37
大富豪家2.0
* はずした値を引数にしてCGI呼べるような...
* はずし忘れそうでやっぱり面倒かな?