Hice una reinstalacion de mi otro blog porque entre una base de datos que use de prubeas para instalar WordPress, Textpattern y Mambo se estaba complicando un poco todo. Encima otro "ataque de spam" me dejó casi 400 comentarios en menos de un fin de semana que hicieron más simple borrar todo y rearmar el site.
Ahora, revisando las tácticas de esta lacra spammer, veo que 1- No repiten IP´s más allá de 2 veces cada 10 comentarios; 2- el tiempo entre spam y spam es 1 minuto 1 segundo y 3- varían direcciones de mail y links en el cuerpo del mensaje.
Esto que significa? Que no sirve hacer un "throttling" de comentarios (o sea, armar el blog para que demore el tiempo entre comentario y comentario para frenar los bots) y que no sirve bannear IP´s porque simplemente las cambian aleatoriamente.
Sin embargo, pese a que la moderación de comentarios es el método más efectivo para que NO haya spam en el blog me pregunto ¿porque tengo que seguir aprobando una y otra vez a los mismos "comentaristas"?
Digo, ¿no es más simple hacer algun hack o plugin para que haya una moderación de "comentaristas" que de comentarios en si mismo?
Por ejemplo, yo se que los comentarios de beto por poner un ejemplo vienen acompañados siempre de la url de su blog y de su dirección de mail (no importa si es verdadera o un simple alias o lo que sea) esos 3 campos NUNCA cambian: Nombre+URL+e-mail y, por más que un comentarista no tenga blog sé efectivamente que su mail se va a repetir.
Entonces la moderación, pasa a ser de personas, que una vez aprobadas ya no deben ser moderadas y esto evitaría la demora que sufren los comentarios en aparecer en el site.
¿Estoy delirando o esto es más simple que imaginar un clearing de spammers y/o un sistema de moderación individual de comentarios y/o un "throttling" de tiempo, etc.? ¿Se forzaría mucho una base de datos si tuiviese que chequear esos campos?
Desconozco el funcionamiento de los programas de blogging pero contesto tu pregunta de si se forzaria una base de datos por hacer una validacion de ese tipo y la respuesta es definitivamente no, no se que base de datos usa tu blog pero definitivamente con esa consulta, cualquier base de datos medianamente decente se caga de la risa.
Como sistema no me parece malo para una poblacion estable de comentaristas pero deberias constantemente revisar que alguien nuevo pueda estar entre los comentarios de los spammers…y ahi tendrias el pesar de estar revisando y revisando…
No te convencio la idea de usar hip?
ya tienes un plugin para wordpress que solo deja comentar a los usuarios registrados. ¿es eso lo que quieres?
zootropo.. no.. lo que quiero no es que se registren.. es autorizarlos yo a comentar asi no tienen que registrarse ni esas cosas.
Demian, es cierto que habría demoras en los nuevos comentaristas… pero eso podríamos decir que es un “derecho de piso por culpa del spam” y la base de comentaristas se iria ampliando asi cada vez se demora menos.
Lo de hip lo vi y me pareció bien.. pero no se como se implementa en esto :S Y probe el captcha pero algo no anda :S
Y digo yo, ¿no seria viable que el nombre de los campos del formulario se generen dinamicamente para que no sean siempre “author, email, url y text”?. Simplemente se generan cadenas aleatorias que se memorizan en algun sitio para al procesar el formulario saber qué campos tiene que procesar…
Es una idea más…
No conozco mucho de las herramientas de blogging, así que mi pregunta es de neófito: no hay forma de colgarle a esta parte del formulario en la que estoy escribiendo un gif con una secuencia random de números y letras que te obligue a tipearlas manualmente? Tipo como tiene Verisign en el query del whois.
Es buena opción, una que a mi se me ocurrió es porque no pedir una palabra clave que aparezca en la pantalla de la página de comentarios?
Nombre, email, URL, Clave. Y la clave es la que aparece en pantalla. Algo así como ya lo hacen varios sistemas de e-mail para que no se creen cuentas con “robots”. Esa palabra puede ser única por post, o una al dia, o una por semana.
Disparatado?? Nada mas porque no se ni por donde empezar o yo lo hacia .. :D
Saludos!
Mario
mira, buenas iedeas se te ocurren…
alguna vez escuche a alguien decir que si infectabas de sida a los cientificos más abocados al etma, en menos de 6 años tenian la cura…
pasa lo mismo con el spam, jode a los que saben, esyos aportaran las soluciones en menos de loq ue canta un gallo ;)
me gusto la idea esa de una vez aprobar a un comentante, tenga acceso libre… quien escribira el hack para MT?
en wordpress vi algo como lo que decís mariano, pero no para mt
aún no sabiendo nada de programación, el sentido común me indica que debería poder programarse fácilmente lo que estás planteando
decime, el captcha para mt cómo se instala? hasta ahora lo había visto sólo para wp
Yo por suerte no he recibido ni uno más. La clave fue el fin de semana pasado. Le puse una regla al wordpress que elimina cualquier spam que contenga el caracter # y & en cualquiera de los 3 campos identificatorios.
No llega ni uno…
en wordpress tambien podrias cambiar la url de comentarios y hackear el codigo para que tome esa url. Seguramente en mt se puede hacer lo mismo… Despistar a los programillas esos que hacen tantos comentarios.
David.. me perdi en tu concepto :S
lucas eso que describis es el Captcha.
Ylek para instalarlo hay que ir vía este plugin el problema es que para MT3.x hay que tocar algunas cosas y a veces no funca :S
CasoPatologico.. la logica que decis vos es la del sistemita este, sino el problema estaría en la generación del codigo y la actualizacion.
Vuarnet.. es que acá.. yo soy de los que NO saben :)
Diego.. si.. en mi caso el 80% de los comment spam tienen un <h1> al principio de los comentarios o en algun campo identificatorio… pero si mañana eso cambia.. tenes que retocar tu instalacion de WP.. es inseguro eso.
gaba, el problema es que mientras uno los despist ellos encuentran la forma y en una noche te joden el blog ;)
Puedes usar este plugins para tus comentarios, pruebalo ;-) TrenCaspammer.
Lo acabo de terminar de instalar ahora ha esperar unos dias para ver que tal.
Suerte.
Me parece que cualquier método que se use, es sólo cuestión de tiempo antes de que un spammer se de cuenta de lo que tiene que hacer para evitarlo.
De ese módo lo mejor es ir cambiando de método seguido. Banear ips ahora no sirve, chequear que no tenga mas de x links tampoco,… y así cada vez son más las técnicas que dejan de funcionar.
Para mi la mejor opcion es la que implementa SpamAssassin, o sea ponderar los mensajes de acuerdo al contenido.
en cuanto pueda armo mi buscador de expresiones regulares para el PostRev y se lo agrego.
son varias cosas a filtrar para identificar un spam, ninguna 100% efectiva, pero teniendo en cuenta las generales como mucho hay que borrar un par de spams.
Pero sin usar expresiones regulares o filtros bayesianos, hay que usar el ingenio. Mariano. No está mal tu idea, no se para Movable Type si es fácil de implementar, a mi ya se me ocurrió para mi sistemita :D:D jeje.
No está mal la idea y te permite dejar afuera a unos cuantos, peeeero, en mi caso, por ejemplo, tengo muchos visitantes ocasionales que dejan sus mensajes y que no saben un carajo de spam, autorizaciones ni nada por el estilo, un poco frustrante para el navegante escribir algo y que no aparezca, no?
Otra es que se publiquen los mensajes “nuevos” (es decir, que tienen nuevo autor) y que aparezcan en una lista aparte en un administrador.
De esa nueva lista uno selecciona y borra los que no deberían estar (spam por ejemplo) y deja los que si.
Esto es aplicable en un sistema dinámico, no el estático de MT. Porque si no cada vez que se hace esta “limpieza” habría que reconstruir el sitio
Pero sería como una mezcla entre tu idea y esto otro, una tabla en la BD con “posteadores”, tres estados: autorizado, pendiente, denegado, los comments que sean escritos por “posteadores” en estado pendiente (los denegados ni los publica) los listará, si quieres “aprobar” los dejas pasar y cambias el estado del “posteador” y si no lo pasas a “denegado”.
Por ende el sitio no pierde el dinamismo, los comments salen apenas los escriben, y son autorizados en la marcha y sin espera, es una forma más, pero que no necesita de registro por parte de los usuarios.
Amoavé. Supongo que los robots se basarán en el nombre de los campos del formulario de comentarios para hacer spam. Entonces, si al campo “author” le pones “zasdffdd” el robot spammer ya no detectará ese formulario como lugar donde hacer spam. Y si ademas le cambias cada vez el nombre a cada uno de los campos y también la URL de comentarios (a donde se envia por POST el formulario) pues creo que estaría bastante difícil…
Bueno, eso creo, porque no se exactamente en que se basan para hacer el spam pero parece logico que sea en eso.
Mariano, vos sos de los que saben eso en primer lugar, tengo los mismos problemas que vos y sigo investigando pues no me quiero mover de mt.
Yo tambien veo el tema de autenticar, pero mi miedo con internet es el del time out.
Gracias por la data del post
Saludos
y de última nos enteraremos q son las proveedoras de internet para hacernos usar más ancho de banda eliminando el spam y así cobrarnos el excedente.
ok, ok, fué un chiste.. no lo publiques.
Yo creo, es una idea, que podría intentarse llevar al spam a un callejón sin salida. Esto es presentarle una puerta perfecta (coments cgi sin renombrar, nombres de campos como vienen por defecto etc etc) y que eso llevase a un bloqueo. Y por otro lado poner una entrada buena para los comentarios autenticos con lo de coments cgi renombrado, etc etc. Lo que no se es como se puede implementar…
Por otro lado la solución al spam pueda ser tratar de utilizar un poco todas las técnicas mencionadas en los comentarios precedentes. La que más me gusta es la de una palabra o numero aleatorio que tendríamos que poner cada comentarista. Pero parece que eso aún no se ha desarrollado para MT. :/
Saludos. :)
mariano, probaste esto?
Un par de ideas de neófito: Los comentarios en weblogs de blogger no tienen tanto spam como en otros sistemas (no sé si la libren completamente). No sólo los que usan el sistema que proporciona blogger mismo, sino también los de Haloscan o Backquote. No tengo idea de por qué, pero por mi experiencia así pasa.
Luego, Julio en su blog, tiene una cosa de moderación de comentarios. Dice “Pero debido a que he recibo mucho maldito spam en el pasado me he visto obligado a moderar cualquier uso de tags. Así que cualquier uso de estos tags tendrá que ser moderados antes de aceptar el comentario lo que no suele tardar mucho, mil disculpas por la inconveniencia.”
Igual y por ahí: si usan tags, los moderas, si no, pasan
Las tres reglas del juego del spam:
1) No puedes ganar.
2) No puedes empatar.
3) No puedes abandonar el juego.
Yo he conseguido olvidarme de ellos con esta solución tan sencilla: http://neuromancer.dif.um.es/blog/?p=35
Saludos!
diego
Puedes usar este plugins para tus comentarios, pruebalo ;-) TrenCaspammer.
Lo acabo de terminar de instalar ahora ha esperar unos dias para ver que tal.
Suerte.
yo emplie tre metodos
1- el mas efectivo es poner un campo oculto para los robots de spam, si el campo oculto se modifica no se guarda.
2-buscar en el campo comentario o mensaje etiqueras html y caracteres y no guardar el mensaje.
3-validacion de email nombre y url