Hiddy, contrastare gli spam bot


Uno dei migliori plugin per combattere i commenti spam sul proprio blog WordPress è sicuramente Akismet, peraltro aggiornato in questi giorni: come saprete il plugin verifica ogni commento, pingback o trackback inserito nel blog inviando una richiesta al web service di Akismet e, nel caso lo valuti come spam, lo inserisce in un’apposita coda.

Akismet è senza dubbio un sistema efficiente, ma come tutti gli strumenti antispam ha due difetti:

  • i falsi positivi, ossia commenti validi considerati erroneamente come spam
  • al crescere dell’efficienza dello strumento e della mole di spam corrisponde una maggiore fiducia dell’utente, che smetterà di controllare la coda dello spam alla ricerca dei falsi positivi

Come risolvere il problema? Una possibile soluzione è data da un plugin tutto italiano, Hiddy. L’idea di base è piuttosto semplice:

  • la quasi totalità dei commenti spam è generata da bot, piccoli software che inseriscono in modo automatico messaggi pubblicitari nel modulo dei commenti
  • uno strumento automatico è in grado di individuare i campi del form ma, ovviamente, non può valutare il tipo di informazione richiesta né se il campo risulta visibile a un normale visitatore

Hiddy sfrutta questi due limiti inserendo un campo nascosto nel modulo dei commenti: un visitatore reale non vedrà e non compilerà quel campo, un bot cercherà di compilare tutti i campi, compresi quelli resi invisibili tramite CSS, e verrà individuato. Per attirare l’attenzione del bot e complicare la vita agli spammer il campo avrà un nome pseudo-casuale, scelto in una rosa di nomi appetibili (e-mail, url, ecc. ecc.).

Nelle versioni successive – l’ultima è la 1.1b – sono stati inseriti ulteriori controlli, ad esempio l’anti-flood: un utente che compila il form dei commenti in meno di X secondi, dove X è un parametro modificabile nelle opzioni (Opzioni->Hiddy Antispam), è necessariamente uno spam bot.

Personalmente sto utilizzando questo plugin da quasi due mesi e la coda dello spam è praticamente deserta, pur avendo collezionato nel corso del tempo oltre 89.000 commenti spam: in coda troverete solo falsi positivi e il commento di qualche folle disperato che ha inserito lo spam manualmente.

[Autore:PseudoTecnico]

Hai qualche Domanda o vuoi Commentare?

16 commenti su “Hiddy, contrastare gli spam bot

chiamare “folle disperato” chi naviga senza i css, o magari con uno screen reader, e non sa niente di spam e affini è un po’ pesante non trovi?

Reply

Se non ho capito male però questo antispam è comunque da associare ad askimed?

chi da la precedenza a uno piuttosto che all’altro?

Byez

Gollum1

Reply

Discriminare umani e bot in base al css è una cattiva pratica. C’è il rischio di falsi positivi con utenti ipovedenti o ciechi, o con chi usa un browser testuale, come notato da Tambu. Questo hiddy mi pare un altro modo, insieme ai captcha, per infastidire il lettore.

Reply

@tambu

Credevo che la frase fosse chiara (e rileggendola mi sembra più che chiara): “folle disperato” è riferito allo spammer di turno che inserisce manualmente i commenti, un blog alla volta, senza considerare che un commento bloccato dal plugin non finisce in coda 😕

in coda troverete solo falsi positivi e il commento di qualche folle disperato che ha inserito lo spam manualmente.

Sugli screen reader: a meno che la situazione non sia cambiata, gli screen reader ignorano i campi non visualizzati (se qualcuno potesse confermarlo sarebbe meglio).

Sui css disattivati: hai provato ad inserire un commento con il foglio di stile disattivato sul mio blog? Il campo è visivamente scollegato dal form dei commenti, anche se non posso escludere che su altri blog con altri temi il layout risultante sia diverso e meno chiaro.
Senza dubbio si può migliorare la pagina di segnalazione mettendo un minimo di spiegazione sul perché il messaggio è stato considerato come spam, ma da qui a considerare il plugin “poco accessibile” ce ne passa, quantomeno per i miei criteri di valutazione.

Reply

@Gollum71
Il plugin non sostituisce Akismet, è un’integrazione: interviene in una fase successiva, cancellando dal database il commento. Ecco spiegato perché il contatore di Akismet continua a salire.

@jan
Nel frattempo ho risposto a Tambu, credo che la risposta valga anche per la tua domanda.

Paragonare un campo nascosto a un captcha mi sembra un po’ azzardato: la maggior parte degli utenti (e, fino a prova contraria, includo anche un utente che utilizza uno screen-reader), il campo nascosto nemmeno se lo trova tra i piedi.

@jan e @tambu
Sono perfettamente d’accordo sulla necessità di garantire l’accessibilità ad utenti ipovedenti o non vedenti: stabilito questo non credo che l’obiettivo di un qualsiasi blog sia garantire il funzionamento su un “browser testuale”.

Se queste sono le esigenze, credo che i problemi da affrontare siano ben altri (e sorrido pensando alla maggior parte dei blog che vedo ogni giorno), non certo la discussione su un plugin che utilizza display:none per inserire un campo nascosto nel form dei commenti.

Reply

consiglio di leggere con attenzione i post per evitare abbagli colossali.

Questo plugin NON e’ un altro captcha proprio perchè anche ipovedenti e non vedendi con lo screenreader NON leggono i campi hidden (a meno di malfunzionamenti degli screenreader o di strane configurazioni).

Pseudotecnico è stato MOLTO chiaro definendo folle disperato colui che inserisce SPAM manualmente e NON c’era alcuna possibilità di fraitendere.

Quindi per favore leggete con attenzione rileggete contate fino a 100 e poi commentate.

grazie

Reply

Grazie PseudoTecnico per i commenti di risposta e il link. Come vedi, anche un piccolo plugin fa nascere discussioni interessanti.

Reply

wolly, io invece consiglio di non intervenire in difesa di nessuno con toni da crociata. Stavo per scrivere che si, forse se avesse messo una faccina sarebbe stato più chiaro, ma che già due persone (io e jan) avevano interpretato male e quindi tanto chiara la frase non è, ma il tuo intervento mi ha fatto cambiare idea.

Penso che prenderò Pseudotecnico sul messenger e continuerò con lui, che è gentile e disponibile, la discussione. Tu non meriti ulteriore tempo, visto che parti prevenuto.

Reply

@Tambu fai pure quello che preferisci, la frase era chiara se tu non la capisci mi dispiace molto per te.
Il prevenuto sembri tu mi dispiace, e il tono che hai preso mi ha costretto a intervenire, fatti poi spiegare da pseudotecnico il perchè su messenger.

Reply

Primo post è già caos… Direi che il è il caso di fare un bel respiro profondo (tutti, me compreso) e tornare alla calma 😉

@tambu
Dal commento di Jan non credo che avesse travisato il significato di quella frase, quanto piuttosto che esprimesse dubbi sull’accessibilità del plugin, a prescindere dal “folle disperato”.

P.S. Mai usato Messenger 😛

Reply
Famelico di Frangipane

Secondo una ricerca di un centro universitario di Shanghai, sono gli italiani quelli che fraintendono piu’ spesso. Effettivamente discutere con gli italiani e’ assai difficile, fraintendono toni e significati con estrema frequenza.
Il consiglio di Wolly potra’ non piacere nei toni ma dice una cosa corretta. Bisogna rileggere con attenzione, altrimenti si fa una brutta figura, si da’ ragione ai ricercatori cinesi e per giunta il tutto con gli stessi toni di rimprovero (“è un po’ pesante non trovi?”) che poi vengono contestati a Wolly.
Non si spiega altrimenti se non con pigrizia nel leggere (o mailizia polemica), sostenere che venga dato del “folle disperato” a chi naviga senza i css. Bisogna rileggere e poi quando si e’ sicuri di aver capito, bisogna ancora rileggere.

Reply

OH! chiedo umilmente scusa. Nella fretta eccessiva di mettermi in mostra ho scritto “messenger” invece di “google talk” o quel che diamine usi quando SICURAMENTE ci siamo parlati su UN instant MESSENGER.

Cmq voglio tornare costruttivo, almeno la smetto di passare per sabotatore. L’unica cosa che FORSE salva questo accrocchio, è che non ha una label associata. Visivamente, anche sul tuo blog che tiri in ballo, non è staccato da un bel niente (e non ha nemmeno senso tirare in ballo il tema o il layout giacché parliamo di CSS disabilitati). Viene un a-capo dopo il check “avvisami di nuovi commenti per email”.

Quindi per uno che non sa nulla di antispam, è un campo come un altro che chiude una form come un’altra. Deve compilarlo? non deve compilarlo? non si sa. Gli altri campi li ha compilati (anzi alcuni sono obbligatori), questo campo ha un nome familiare (url1, emailretype). Secondo te lo compila o no? E il fatto che non abbia una label associata lo rende A PRESCINDERE inaccessibile.

Reply

“uno che non sa nulla di antispam e ha i css disabilitati” naturalmente.

Reply

effettivamente la cosa è un po’ strana, perché se è un campo marcato come hiden, non dovrebbe essere visualizzato neppure se vengono tolti tutti i css, nel qual caso però credo che non sarebbe neppure in grado di visualizzarlo il bot dello spam, quindi il mascheramento è dovuto esclusivamente al css, e togliendolo il campo appare…

quindi effettivamente per chi usa sistemi uno screen reader, dovrebbe essere preso in considerazione un css adeguato, che dovrebbe essere interpretato correttamente dallo screen reader) e non l’assenza di css, altrimenti il problema sussiste eccome.

Byez

Gollum1

p.s.
BUON ANNO….

Reply

@gollum1
Sinceramente non ho capito il tuo commento: se un campo è reso invisibile tramite css – mai parlato di “hidden field” – non viene letto dagli screen reader (finora nessuno ha sostenuto il contrario). Che bisogno c’è di un foglio di stile ad-hoc?

Visivamente, anche sul tuo blog che tiri in ballo, non è staccato da un bel niente (e non ha nemmeno senso tirare in ballo il tema o il layout giacché parliamo di CSS disabilitati).

@tambu Fino a prova contraria il tema conta, visto che senza i css gli elementi vengono visualizzati nell’ordine con cui sono inseriti nel codice (X)HTML, e quindi dipende tutto dal tema in uso.

Ad esempio: se un tema prevede la textarea per il commento PRIMA dei campi per nome/email/url e non c’è il plugin per l’iscrizione ai commenti via e-mail, il campo aggiuntivo risulterà “quasi” attaccato agli altri (dovrebbero esserci i pulsanti di mezzo).

Tu sostieni che il campo si confonde con gli altri del form, io la prima volta che ho disattivato i css nemmeno lo vedevo (screenshot per chi volesse verificare). Evidentemente abbiamo due visioni diverse 😉

Reply

[…] frecciatina all’amico Tambu: mi hai fatto le pulci per Hiddy e la sua scarsa accessibilità, ti faccio notare che per inserire un solo commento ho […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Archivi

Categorie