Emailový formulář - CAPTCHA je nutnost

MyEgo.cz

home foto blogy mywindows.cz kontakt

Emailový formulář - CAPTCHA je nutnost

O víkendu jsem dostal mírně výhružný dopis od webhostingové společnosti, na níž je hostován web antiethanol.com:

Dobrý den,
oznamujeme Vám, že jsme byli bohužel nuceni zablokovat odesílání pošty z Vašich webhostingových účtů. V poslední době Vaše stránky generují nevyžádanou poštu. Věříme, že jde z Vaší strany o nežádoucí chování a doufáme, že co nejdříve odstraníte tuto politováníhodnou závadu.

Trošku mě zarazil tón oné žádosti a ono „z Vaší strany“, bylo totiž nadmíru jasné, že nějaký robot (napsaný třeba pomocí CURL) se napojil na běžný emailový formulář a zneužívá jej pro rozesílání spamu (formulář totiž odesílá i kopii odeslané zprávy klientovi, což se dá zneužít jako spam). Nicméně, toto nechápu jako problém, který způsobuje ona webová prezentace, ale jako problém zneužití třetí stranou navíc snadno řešitelný blokací IP adresy onoho robota ze strany webhostingu.

Nicméně, řešení je samozřejmě použití CAPTCHA, přes kterou robot neprojde. Pokud někdo dosud pochyboval, zda CAPTCHA u emailového formuláře má smysl, či zda je to jen „frajeřinka“, závěr je jasný - CAPTCHA je nutnost. V opačném případě se webhosting může dostat na seznam / blacklist spammerů, přes než je odesílána nevyžádaná pošta, a následně si už nepošle z onoho serveru velice dlouho nikdo nic.


Komentáře

  1. 1 Michal Hantl 12.12.05, 01:12:24
    FB

    Ještě bych dodal, že je ideální javascriptová hláška, která uživatele upozorní, že jste CAPTCHA nevyplnil a IMHO bych uživatele ještě JS upozornil, že CAPTCHA zadal špatně (ale max. třikrát).

  2. 2 Vesta 12.12.05, 02:12:13
    FB

    Ty doby, kdy jsme nad tímto problémem mohli mávnout jsou už asi dávno pryč. Na druhou stranu jsem minulý týden narazil na stránky, kdy jsem musel kód vyplňovat asi na čtyřikrát - CAPTCHA byla totálně nečitelná. Máte někdo zkušenost, jak se chová robot u stránek, když se nejdřív zobrazí náhled odesílaného vzkazu/zprávy a teprve potom se zpráva odešle?

  3. 3 Radim Smička 12.12.05, 04:12:10
    FB

    Ten formulář nemůže odesílat maily komukoliv. Pokud se to neodstraní, spamy budou určitě chodit dál captcha necaptcha.

    Captcha není podle mě ideální řešení. Přeci je řada výzkumů, která tvrdí, že není těžké capchtu počítačově rozlousknout například v 80 procentech případů. (pokud by se napsal robot speciálně na určitou captchu bylo by to určitě více). Opravdu mi připadá, že to je proti uživatelům. Nečitelných captcha přibývá (např na Seznam mail jsem přečetl až 4. captchu ;-) ).

  4. 4 Radek Hulán 12.12.05, 04:12:16
    FB

    [3] ten formulář odesílá email skutečně "komukoliv", je to kopie zprávy, kterou klient posílá, pro jeho evidenci. Je samozřejmě možné tuto funkčnost odstranit, ale pokud nebude CAPTCHA rozlousknuta, je to zcela zbytečné omezení funkčnosti.

    Jinak řečeno, mýlíte se, útočit hrubou silou na CAPTCHA je pitomost, když je spousta jiných emailových formulářů bez CAPTCHA.

  5. 5 Sokolík 12.12.05, 05:12:27
    FB

    [1] Kontrolovat přes JS správnost není moc reálné, jelikož by někde v tom JS musela být CAPTCHA uložena v textové podobě. (Popřípadě nějak šifrována, ale i to už je dost složité).

    [2] Mám to takto řešeno u sebe na stránkách www.sokolik.cz a zatím to zabránilo komentářovému spamu. Ale otázkou je, na jak dlouho.

  6. 6 zombux 12.12.05, 05:12:27
    FB

    jen dotaz, chápu dobře, že za webu s BLOG:CMS mohou být odesílány maily komukoliv? vždyť v kódu NP_Contact je jako adresát jen moje e-mailová adresa. díky za objasnění

  7. 7 Radek Hulán 12.12.05, 05:12:39
    FB

    [6] NP_Contact plugin v BLOG:CMS obsahuje přece modul CAPTCHA. Jinak jsou ale odesílány 2 emaily, jeden administrátorovi webu a druhý klientovi posílajícímu zprávu, jako kopie toho, co poslal. S CAPTCHA je to bezpečné, bez CAPTCHA (starší instalace jako je zmíněný Antiethanol.com) je to zneužitelné.

  8. 8 eraser 12.12.05, 07:12:26
    FB

    Zrovna cez víkend som riešil, prečo matka nemôže doručiť poštu svojmu dávnemu spolužiakovi, ktorý žije v Taliansku.

    Odhalenie bolo jednoduché, ich provider blokuje všetky IP adresy, ktoré patrie portálu Atlas.cz a Atlas.sk. Sice som sa dožadoval výnimky, no odkázali ma na nejaké divné stráky, ktoré sú navyše celé v taliančine, takže riešenie vidím v komunikácii cez môj e-mail.

  9. 9 Saleck 12.12.05, 07:12:29
    FB

    Dobrý den,
    také jsme u některých našich klientů řešili podobný problém. Většinou jde o podsunutí části hlavičky do nezabezpečeného pole "jméno", tak si spammer může přidat x dalších adresátů.

    Domnívám se, že vhodnější řešení je spíše rozumně rozdělit a programově ochránit (testovat korektní obsah) jednotlivá pole formuláře než omezovat přístupnost webu technologií CAPTCHA. Např. zrakově postiženým by CAPTCHA efektivně znemožnila použití formulářů.

  10. 10 Radek Hulán 12.12.05, 07:12:45
    FB

    [9] "rozumně testovat" veškerá pole moc nelze, podvrhnout hlavičky se podaří i tak. Jediná možnost je CAPTCHA, a přístupnost to nesnižuje, na webu je přece vždy i klasický mailto: odkaz

  11. 11 zombux 12.12.05, 09:12:13
    FB

    nevím jestli tohle je správný místo se ptát, na BLOGCMS fóru jsem odpověď nenašel, tady to možná bude víc na očích. zdá se, že captcha u mě funguje nějak podivně... pod článkem v komentářích je v pohodě, ale v contactu ne, nebere správně zadaný řetězec. nějak mi nejde do hlavy, co bych měl ještě kde upravit. NP_Captcha a NP_Contact mám aktualizovaný :-/. Byl bych vděčný aspoň za hint co s tím. znova instalovat celý systém se mi zrovna dvakrát nechce, je poměrně dost modnutý :( díky za jakoukoliv radu

  12. 12 Radek Hulán 12.12.05, 09:12:24
    FB

    [11] asi jsi neupravil contact skin:
    http://forum.blogcms.com/viewtopic.php?id=1668...

  13. 13 zombux 12.12.05, 09:12:35
    FB

    [12] jsem lama, už to zřejmě funguje. skin jsem upravil, ale blbě - takže kdyby to někomu taky nefungovalo, <%contact%> patří až za <form method='post' action='<%blogsetting(url)contact.php%>' id='contactform'> a ne před jako jsem to měl já. díky za tenhle kód

  14. 14 Jarek Šeděnka 12.12.05, 09:12:37
    FB

    [5] Neřekl bych že je složité kontrolovat správně vyplněnou Captchu u klienta, vždycky můžeš použít XMLHtmlRequest nebo mít v JavaScriptu uložený hash.

  15. 15 Květoš 14.12.05, 09:12:46
    FB

    S captcha máte určitě pravdu. Ale myslím, že by proti komentářovému spamu měla stačit textová kontrola..? Tak jak to mám na http://www.pc-politika.com (levý sloupec dole tlačítko Forum).

    Měl jsem rovněž problémy, když jsem tam nechal vůbec neošetřený formulář a robot se na něj napoji. Denně jsem dostával 200 spamů!
    Tak jsem formulář odstranil a dal tam forum, které vyžaduje před posláním zadat slovo na kontrolní otázku. Už mi chodí denně jen asi 30 SPAM. Tedy to dobíhá. Doufám, že tím jsem to vyřešil...Či se mýlím??