Il y a presque trois semaines, j'ai mis en place un antispam ''trapbot''.

Ce piège à spam bot fonctionne à merveille : 850 spams bloqués, aucun n'est passé !

Chose amusante que je n'avais jusqu'alors pas remarqué, en plus de remplir tous les champs, les bots en modifient également !

Sur Dotclear, le formulaire d'ajout de commentaire a un champ caché (redir) qui contient le permalink du billet commenté, pour rediriger le rédacteur du commentaire vers la bonne page. Typiquement, il contient une valeur de ce type : /2007/03/05/200-un-antispam-qui-fonctionne

La très grande majorité des envois bloqués (du moins, tout ceux que j'ai regardé) n'envoient pas /2007/03/05/200-un-antispam-qui-fonctionne mais /2007/03/05/200-un-antispam-qui-fonctionne/ (ceux qui sont réveillés auront remarqué le dernier slash).

Soit parce que les bots ne savent pas lire les balises XHTML finissant par />, soit en pensant qu'il s'agit d'un dossier et non d'un fichier et en anticipant une redirection envoyée par le serveur, je ne sais pas, mais le test pourrait être aussi simple que ça !

En attendant que les bots apprennent le CSS (ça viendra, un jour), je vous conseille de mettre ce type de système sur tous vos formulaires publics !

Je viens d'implémenter cette technique simple et pourtant radicale sur ce Dotclear. Il ne reste plus qu'à en suivre l'évolution.

D'après cet article, le taux de réussite de détection d'un spam est de 100%, quelques tests sur Fiftiz ont montré qu'effectivement ça fonctionnait bien :)

Voici le principe en résumé : il suffit d'ajouter un champ typique au formulaire à protéger, et de le masquer grâce à une classe CSS. Aucun utilisateur réel ne le verra. Les spam bots, eux par contre, le rempliront avec une valeur plus ou moins aléatoire. Si le champ est rempli, c'est un spam...

Note pour ma mémoire et pour les bidouilleurs : ça se passe au niveau du template (form.php et la feuille de style) et de layout/prepend.php