コンピュータ関連の備忘録

同じスパムでもトラックバック及びメールとコメント及び掲示板での対策は大きく異なるものがあります。

トラックバック、メールは決まった形でデータのみが送られてきます。送信元のプログラムも様々です。ですが掲示板やコメントは自分で用意したフォームから送られてくるわけです。
ということで、この送信フォームと連動したスパム対策がとれると言うことになります。

ということで「対策その１　Javaでキーを作成する方法」です

■■　修正方法 ■■

まず何はともあれJavaScriptのファイルを作成します

メモ帳などに下記のコードを書き込んで「fmchks.js」 と言う名前で保存します

　 function fmchk() {

     str1=String(Math.floor(65/6));
     str2=String.fromCharCode(67,68);
     document.cmfm.checkers.value = 'MY' + str1 + str2;

}

上記を保存したらブログ関係のどこかわかりやすいフォルダにアップロードします
で、、アップロードしたら、そのファイルを呼び出せるURLを覚えておきます

http://www.hoge.net/blog/fmchks.js   とか．．．保存した位置を覚えておくように．．
　

続けてテンプレートを修正します。

テンプレートの中から「comment_form」と言う文字列を探すと、そのあたりがコメントの送信フォームの設定になってます。
その前後に

<form action="{site_cgi}" method="post">

という部分があるのでそれを

<form name="cmfm" action="{site_cgi}" method="post">

と言うように名前を付けて．．．

その上の行に先ほど保存したJavaを呼び出す設定を加え．．．

<script type="text/javascript" src="http://www.hoge.net/blog/fmchks.js"></script>

その後ろの行に

<input type="hidden" name="checkers" value="true" />

のようなキーを追加設定します

雰囲気的に修正後はこんな感じになる

<script type="text/javascript" src="http://www.hoge.net/blog/fmchks.js"></script>
<form name="cmfm" action="{site_cgi}" method="post">
<input type="hidden" name="checkers" value="true" />
　

でもって、このコメント送信フォームの中から送信ボタンの記述を見つけます。。。

<input type="submit" tabindex="6" id="submit" value="submit" />

これを下記のように修正します

<input type="submit" tabindex="6" id="submit" value="submit" onclick="fmchk()" />


以上でテンプレートは修正完了です。


最後にプログラムを修正します

lib/sb/Receipt.pm を修正します(^0^)

コメントスパム対策コードを埋め込んだ部分をみつけて．．．
元は２０７行目あたりですが．．．．．．その後の修正でずれていると思う(^^;)

eval { # error check die("error_no_comment\n") if ( $com{'body'} eq '' ); die("error_banned\n") if ( $entry->acm == 0 ); die("error_no_entry\n") if ( $entry->stat == 0 ); die("error_banned\n") if ( !&_check_ip($cgi->value('_addr')) ); die("error_doubled\n") if ( &_check_redundancy_for_com(\%com,@objs) ); ## IP Spam Filter Start_! my $ctp = 1; if (IP_Base::_allow_mail_address($com{'mail'},'./ipcheck') == 1){ $ctp = 4; } die("error_banned\n") if (IP_Base::_check_ip_base($com{'host'},'./ipcheck',$ctp,'CM')==0); ## IP Spam Filter End_! ## Japanese Hiragana Check Start_! die("error_no_comment\n") if ($com{'body'} !~ m/(\xA4[\xA1-\xF3]){2}/); ## Japanese Hiragana Check END_! };


その部分を下記のように修正します
eval { # error check die("error_no_comment\n") if ( $com{'body'} eq '' ); die("error_banned\n") if ( $entry->acm == 0 ); die("error_no_entry\n") if ( $entry->stat == 0 ); die("error_banned\n") if ( !&_check_ip($cgi->value('_addr')) ); die("error_doubled\n") if ( &_check_redundancy_for_com(\%com,@objs) ); ## IP Spam Filter Start_! my $ctp = 1; if (IP_Base::_allow_mail_address($com{'mail'},'./ipcheck') == 1){ $ctp = 4; } die("error_banned\n") if (IP_Base::_check_ip_base($com{'host'},'./ipcheck',$ctp,'CM')==0); ## IP Spam Filter End_! ## Japanese Hiragana Check Start_! die("error_no_comment\n") if ($com{'body'} !~ m/(\xA4[\xA1-\xF3]){2}/); ## Japanese Hiragana Check END_! ## Java Key Check Start_! die("error_banned\n") if ($cgi->value('checkers') ne 'MY10CD'); ## Java Key Check END_! };


以上でスパム対策強化（その１）が完了です．．．．．．


これをするとどうなるの？？

スパムロボットは投稿フォームを解析して、スパムを送ってきます。
と言うことで、「checkers」キーに対してその値である「true」という値を返してきます。

ですが、ここで仕込んであるJavaか効果を発揮します。
確かにフォーム解析上のvalue値は「true」ですが、人間が投稿フォームを表示して、投稿ボタンをクリックすると、クリックした時点でjavaスクリプトを実行します。。。そして、その値を書き換えてから、投稿をしてきます。

と言うことで、正しくvalue値が書き換えられている（正規の投稿）かそうでない（不正な投稿）を見分ければ、スパムか正規かがわかる訳なんです。

ちなみに、この対策を突破するスパムプログラムはまだないようなので、当分はいけそうな感じかも(^^;)

しかし、近々登場するJava SDK には、Ｊａｖａ解析の仕組みが付いてくるとか来ないとかなので、いつまで持つかはわかりませんが、、、少なくとも当分は完全なスパムフリー生活を送れると思います。