Formulaire spammé malgré vérif

[jeroen]

Comment ça c'est pas totalement automatique ? bien sur que si ! je rajoute ce bout de code en bas d'une de mes pages qui tourne bien, et tu va voir si c'est pas automatique...

ton captcha ne sert absolument à rien car on peut "associer" le code et la réponse (ici 4 et "bleu")

Perso je me suis fabriqué un captcha construit sur le temps. je fabrique un code basé sur la date à laquelle la page est générée, et ce code reste valable 5 minutes pour poster. ensuite il est périmé.. comme ça pas de captcha (qui font chier les membres), et pas de soumission automatique non plus, car le code est très vite périmé.

ps: t'as une erreur de code lors du post des commentaires

La vérification du referer c'est pas mal, même si ça n'arrêtent pas les moteurs qui peuvent le trafiquer !

[zeb]

le temps de réponse entre page en GET et en POST peut aussi être utile pour filtrer.

perso je ne fais pas tourner les questions (je n'en ai qu'une) et pas de spam.

[jeroen]

le temps de réponse entre page en GET et en POST peut aussi être utile pour filtrer.

heu ?

[zeb]

un humain se pose sur ta page (en GET) et prend le temps de répondre 'a la main' donc quand il soumet le commentaire (submit) la page ou le script de traitement est appelé en POST.

Le délai entre les deux manipes est donc 'relativement long' un bot lui ne passera pas sur la page en GET (injection directe en POST) ou le fera super vite (fraction de seconde) donc tu peux valider ou non le message en fonction du temps entre les deux actions ou l'absence d'action préalable.

concrètement tu met un input hidden avec un timestamp php dans le formulaire et ensuite dans le script de traitement tu regarde le temps de réponse.

[Marie-Aude]

Vu le harcèlement des robots sur les formulaires où je n'ai pas mis cela en place, et qui sont des sites similaires, je ne pense pas que cela soit utile.

Au fait un robot c'est pas con sinon on ne se ferait pas spammer.

Simplement, le robot ne perd pas son temps à analyser le css (déjà que Google ne le fait que partiellement). Donc à partir du moment où il ne peux pas lire hidden dans la page...

[YoyoS]

Pour que le hidden fonctionne, il faut avoir un zeste d'intelligence de plus que les robots, et il suffit de le mettre dans le css.
Perso, j'appelle mon champs mail2, un beau piège à robots

Oui c'est une idée par css, mais le problème, si le spammeur t'en veux vraiment, il pourra très simplement configurer son script : sur le site X, ignore le champ Y non ?


EDIT: T'as été trop vite Marie-Aude, alala . Je n'avais pas lu que tu disais mettre le hidden par css, j'ai cru que c'était le type hidden, ce qui est facilement visible par html ^^ . Moi creuvé, moi dodo -_-

[seebz]

Pas très accessible le coup du champ caché en css :s

comment ils font les malheureux qui utilisent des navigateurs vocaux, ... ?
(bon d'accord, c'est tiré par les cheveux mais on devrait commencer à penser à ces choses là)

[Leonick]

Pas très accessible le coup du champ caché en css :s

si, parce qu'un formulaire vraiment accessible doit être construit avec des "label for" et quand il n'y en a pas, on n'a rien à remplir dans le formulaire. Après, il suffit de bien gérer l'ordre de tabulation CQFD