ぼんやりと考えている人

ひろしまなおき (廣島直己)
名前: ひろしまなおき (廣島直己)
住処: シリコンバレー
職業: しがないプログラマ
家族: 愛妻一人、息子一人、娘一人
道具: ハーレー二台、ギター三本
電紙: n at h7a.org

Twitter

« April 2024 »
S M T W T F S
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        

以前にぼんやりと考えたこと

最近のコメント

  • ひろしま (ひらがなせいかつ …): じゅくじくんは なくした ほうが いい ですね。ぼくは…
  • たんぽぽ (ひらがなせいかつ …): きゅうに ぜんぶの ことばを ひらがなだけに する…
  • とね まさひこ… (ひらがなせいかつ …): ぼくは ものかき だが, かんじが きらいなので,…
  • とりえ (ひらがなせいかつ …): このさいとは みているだけで なんとなく ほんわか…
  • ひろしま (思い通りの日本語…): こうどな ほんを よめなければ、こうどな たんごを 学…
  • nt4 (思い通りの日本語…): ひらがなせいかつに初めて接し、興味を覚えました。そ…
  • ひろしま (ひらがなせいかつ …): やはり、がいこくに くらしていたり、がいこくとの か…
  • ぷりうりうぷ… (ひらがなせいかつ …): こんにちは。すうぇーでんに すんでいます。いとうさ…
  • Joi Ito (ひらがなせいかつ …): もと べいにち たいしの Edwin O. Reischauer さん…
  • yonay (理屈じゃないとい…): なんか、著者の主張を誤解しているような気がするよ。…

  • Powered by Pivot - 1.40.5: 'Dreadwind'
  • SPAM Poison
  • XMLフィード(RSS 1.0)
  • Atomフィード

19 March '2006 - 23:49 | Pivot コメントスパム乙

先日から、えらく大量にコメントスパムをもらうようになった。

PageRank を上げるために自分のところにリンクさせまくるというのが目的らしい。

対処方法としては、1.30 から使えるようになる「Blocked Phrases (無効ドメイン設定)」に scripts.cgispy.com と www.theguestbook.com と www.u-blog.net って書いておけばいい、ってことになってる。1.30RC とかを使ってる人はこれでとりあえずいい。

ちなみに、この Blocked Phrases は db/ignored_domains.txt.php に保存されるのだけれど、リファラだけでなくコメントなど(と一緒にポストされる URL とか email とか)にも適用されるので、いらない URL とかを書いておくと今回みたいな URL 固定で攻撃してきてる場合は、まあ、役に立つ。客が URL を変えたらどうしようもないので、当然ながら抜本的な解決というわけではないけれど。

ちなみに、おれのこのサイトはまだ 1.30系に移行してないので、この回避方法は使わせてもらえない。そういうわけで、コメントスパムを 200個くらい頂きました。ごちそうさまでした。

で、毎日たくさん頂くので、仕方なくパッチを書いた。書いたけれど、1.24 用だし誰も使わないだろうってことで、それを 1.30RC 用にしたのをここにおいておきます。数行の簡単なハック。pivot ディレクトリで「patch -p0 < pivot_130rc.commentspam.patch」です。暇な人は勝手にどうぞ。

ただし、みれば分かるように、これは「Encode Email Addresses (Emailアドレスのエンコード)」というのを使う設定にしてある場合にだけ動くようにしてある。つまり、Javascript を使うことを要求する。

Encode Email Addresses 機能が、email アドレスを Javascript で書くようにすることでメールアドレス収集ボットから隠れるのと同じ方式を使って、コメント form の隠しアイテムの値を Javascript で書き換えるようにして、コメント受信後にちゃんと書き換わったものを受信したかどうかチェックする、というようにしてある。

この簡単なトリックを潜り抜けてコメントスパムを成功させるには、Javascript を実行するか、その簡単なコードを解析して何をすればいいか判定できるように改良するかが必要。いまのところそのスクリプトはあまりに簡単すぎる固定文字列を使っているので、客がその気になればすぐに対処できるのだけれど、もしそうやってきたら、もうちょっと難しい目のスクリプトにするとか文字列をランダムにするとか、改良すればいいや、って感じ。

客が Javascript を実行するようになったら終わりだけれど、それは結構面倒なんじゃないかな。IE コンポーネントを使えばそうでもないのかも知れないけれど。よく分からない。まあ、そうしたらそうしたで、何か考えればいい。


なお、このパッチはあまりに弱いので 1.30 には採用されないことが決まってます(笑)  が、誰も使わない方式なら客に対処される確率もすごく低いだろうから、当分は破られないんじゃないかと期待してます。使い始めてから 200個くらいのコメントスパムを排除できてるし、まあ、破られるまでは個人的には使う予定 :-)

Trackback link:

トラックバック用URLを生成するには、JavaScriptを有効にしてください。


「Blocked Phrases (無効ドメイン設定)」なんてあったんですね。さすが1.30;-) と言うかちゃんと機能を確認しなきゃいけませんね8-O
ログを見ると、新たに www.comunalia.com と http://www.free-design.jp からスパムが来ていたようです。って、後者は単なるテストですね :-)
ちょっと心は痛むのですが、広めちゃうと対処されるし、対処されると改良しないといけなくなるし、そもそもフォーラムは嫌いなのでそっち方面には公開してませんし、しないつもりですが、URL を使うだけだと毎回新しいヤツを食らう可能性があるので、1.30 が出るまではこのパッチを使うのがいいと思われます。
なお、開発メーリングリストでは、1.30 のリリースを遅らせてでも HashCash を使って完全に防げるようにしようって流れになってます。

  
情報を記憶する

Emoticons /

酢ハムがいったいどんなハムなのかはともかく…
 

 

通知:
非公開:

注意: 使用できるタグは <b> と <i> のみです。URLやメールアドレスはそのまま記述すればリンクになります。