spam | Rev0lut1on 2.0 of my mind engine

Dic 20 2007

Akismet si aggiorna e introduce la separazione dei commenti dai pingback segnalati come spam

Il 18 Dicembre si è avuto un aggiornamento di Akismet che, a differenza dei precedenti update, introduce anche interessanti novità dal punto di vista funzionale del noto plugin antispam per WordPress. La nuova versione 2.1.2, infatti, introduce nel pannello di controllo le tab che hanno lo scopo di di filtrare i commenti ricevuti.
Ora, quindi, sarà possibile scegliere se visualizzare, come è stato sino ad ora, tutti i commenti segnalati come spam, oppure solo i commenti veri e propri o i soli pingback ricevuti. Evidentemente questa funzionalità è ottima nel caso si ricevano decine di messaggi di spam al giorno, in modo da ridurre la possibilità di cancellare dei falsi positivi.

La nuova barra di navigazione, inoltre, non solo permetterà una migliore gestione della segnalazioni di spam ma sarà in grado di offrire agli sviluppatori di plugin, la possibilità di inserire una serie di tabs personalizzate in modo da estendere le opzioni e le funzionalità di Akismet.

Tra le altre novità vi è anche la possibilità di inserire nel template del proprio blog il counter dei commenti di spam catturati da Akismet utilizzando semplicemente la seguente riga di codice:

Per chi fosse interessato, è possibile scaricare il plugin da qui.

Tag:akismet, antispam, Plugin, spam, Wordpress

2 comments

Dic 6 2007

Aggiornamento urgente del plugin antispam per WordPress a Bad Behavior 2.0.11 per poter tornare a ricevere i commenti sul proprio sito

Posted by Antonio Troise

Chiunque abbia installato l’ultima release di Bad Behavior 2.0.10 deve assolutamente passare alla versione 2.0.11 per prevenire il fatto di vedersi bloccare il proprio sito e non riuscire più a ricevere nuovi commenti perché il plugin traccia un fantomatico errore con la chiave 5703-eb77-1366-73cd (qui la spiegazione del perché è accaduto un simile problema).

Anche sul mio sito sono stato soggetto a questo inconveniente e per tutto il giorno non sono arrivati commenti a nessun post e, addirittura, non riuscivo a togliere dallo Spam di Akismet un commento. Per risolvere velocemente il problema è sufficiente disabilitare il plugin Bad Behavior per tornare a ricevere i commenti. Dopodiché potete aggiornarlo con calma scaricando il nuovo pacchetto (che è una versione preparata velocemente per risolvere il bug e non è definitiva).

Se volete provare a scrivere un commento posso verificare se il problema è stato definitivamente risolto. Grazie a tutti

Tag:bad behavior, Plugin, spam, Wordpress

5 comments

Dic 1 2007

Perché quando si disattiva Akismet questo continua a funzionare in background facendo sparire i presunti commenti di spam?

Posted by Antonio Troise

Questo è un post diverso dal solito: un post-domanda!
Ieri mi sono accorto che, stranamente a quanto immaginavo, se si disattiva il plugin antispam per WordPress Akismet dalla maschera “Gestione plugin” (senza però rimuoverlo fisicamente dalla cartella /wp-content/plugin/akismet), questo continua a funzionare in background senza però avere la possibilità di gestire i commenti segnalati come “Spam Akismet”.
E’ quello che è successo ieri in cui più di qualche mio visitatore non è riuscito a farsi pubblicare un commento, perché andava subito in moderazione. Riprovando a ripostare lo stesso commento, essendo già presente nel DB, WordPress dava correttamente un messaggio di errore per duplicazione di commento. Il problema è che non era visibile nella lista dei commenti e neanche nella coda di moderazione integrata in WordPress.
Solo riattivando il plugin ho potuto avere accesso alla sezione “Spam Akismet” che, nel frattempo, aveva messo in moderazione 30 commenti di cui solo 1 era di spam.

Chi può darmi una spiegazione: è un comportamento anomalo di Akismet o devo settare correttamente qualche configurazione di WordPress? Oppure l’unica soluzione è cancellare il file del plugin?
Grazie a chiunque vorrà rispondermi!

Tag:akismet, Plugin, spam, Wordpress

7 comments

Ago 14 2007

Come inserire una immagine in un campo di testo: esempio applicato al campo antispam matematico

Posted by Antonio Troise

Inserire una immagine in un campo di testo Dopo aver introdotto nei commenti il captcha matematico e aver inserito una facility per lo user-uman, ho pensato di dare un tocco grafico al campo anti-spam inserendovi un immagine di un un lucchetto che rendesse immediato e chiaro lo scopo di questa casella di testo.

Per fare questo ho sfruttato la proprietà Background dei CSS, con cui è possibile controllare lo sfondo degli elementi, sia per quanto riguarda i colori che per quanto riguarda le immagini.
Nel nostro caso ci interessa usare la seconda possibilità ed in particolare mi soffermerò sulla modifica del campo antispam proposto nel Math Comment Spam Protection Plugin, ma deve essere chiaro questa procedura è valida per qualsiasi casella di testo.

Inserire nel foglio di stile del proprio tema questa proprietà:

input#mcspvalue { background:#FFFFFF url(images/lock.png) no-repeat scroll left center; border:1px solid #DDDDDD; padding:2px 2px 2px 20px; }

Come si vede, il codice CSS, non fa altro che assegnare certi parametri a tutte le caselle di testo di tipo INPUT (quindi si escludono, per esempio, le textarea) che hanno un valore di ID pari a mcspvalue (valore di default assegnato dal plugin wordpress di antispam). Questi parametri consistono in uno sfondo di default bianco ma che deve caricare un file PNG 6×16 di nome lock.png posizionato a sinistra e centrato in altezza e che non viene ripetuto ne scrollato.

Molto importante è anche l’entry padding: dato che l’immagine è larga 16 pixel, occorre posizionare il testo subito dopo l’immagine, per evitare una sovrimpressione sgradevole alla vista. Per fare ciò uso la proprietà padding il cui ultimo valore corrisponde a quanti pixel da sinistra deve posizionarsi il testo.

Come ben insegna Davide, come regola mnemonica basta ricordare che, nel caso che la dichiarazione generica contenga quattro valori, questi seguono un ordine in senso orario a partire dall’alto: padding:top right bottom left;

Una volta modificato il css come suggerito e scelta una immagine da applicare allo sfondo del campo di input (cliccate qui per scaricare l’immagine lock.png), il gioco è fatto e il risultato è quello che vedete qui sotto nei commenti.

Tag:antispam, Css, spam

0 comments

Ago 2 2007

Come risolvere automaticamente la somma del captcha matematico con Javascript

Posted by Antonio Troise

Captcha Math Qualche mese fa, stanco di aver un captcha grafico poco accessibile (anche a detta del W3C), ho introdotto nell’area commenti del mio blog, un captcha matematico, in grado di reggere le ondate di spam che imperversano sulla rete. L’idea era semplice e originale: installando un semplice plugin per WordPress (Math Comment Spam Protection Plugin) e aggiungendo del semplice codice php nella posizione voluta nel file comments.php, era possibile vincolare l’inserimento di nuovi commenti alla risposta di una semplice domanda che richiedeva elementari conoscenze matematiche: “Quanto fa 3+5?”.

Ebbene, nonostante la semplicità dell’operazione, prendendo spunto dal geniale Daniele, ho introdotto una ulteriore facilitazione: se il vostro browser ha abilitato il supporto per Javascript (e se anche prima era quasi sempre consigliata la disattivazione, oggi con tutte le applicazioni Ajax che girano, è quasi d’obbligo averlo attivo) potrete vedere che il campo in cui dovevate scrivere il risultato della somma algebrica, risulta ora già precompilato con la risposta esatta.

Ho deciso di adottare anche io questo metodo, perché, ho ipotizzato che un classico bot di spam non usa un browser per inviare commenti, e quindi non dovrebbe mai avere accesso a questa funzione javascript. Certo il codice potrebbe essere semplicemente bypassabile dato che i numeri vengono compresi in un 2 tag SPAN; inoltre dato che i bot usano soluzioni di massa, una soluzione “amatoriale e di nicchia” potrebbe risultare molto efficace.

Al momento sono ancora in fase di test per valutare se questa soluzione è apprezzata e se vi è un eventuale incremento dello spam: al momento in cui scrivo e dopo una settimana di prove mi pare che lo spam sia rimasto sempre lo stesso.

Come funziona

Adesso è arrivato il momento di spiegare come implementare questa semplice soluzione. Unico prerequisito è avere installato il plugin per WordPress Math Comment Spam Protection Plugin (anche se, opportunamente adattato, funzione senza problemi con altri plugin simili o soluzioni proprietarie).

Sul sito dell’autore del plugin, viene riportato il codice da inserire nel file comments.php del proprio tema.
A questo codice, occorre inserire il seguente codice js:

Quindi, occorre separare ogni numero generato casualmente attraverso i TAG SPAN e assegnandogli un ID univoco:

<label for="mcspvalue">Protezione Spam: Quanto fa < ?php echo $mcsp_info['operand1'] . ' + ‘ . $mcsp_info[‘operand2’] . ‘ ?’ ?></label>

In questo modo ogni operatore della somma è identificato univocamente: il primo sarà il valore dello span con ID “num1” e il secondo quello con ID “num2“. Il codice Javascript sopra riportato, quindi, non fa altro che prendere questi due valori (attraverso l’uso di document.getElementById) e sommarli tra di loro. Il risultato andrà poi scritto nel valore del campo testuale document.commentform.mcspvalue.

Occorre, ora, fare una precisazione: quasi tutti i temi per WordPress, quando dichiarano il form dei commenti, usano assegnare solo l’ID e non il NAME. Per far funzionare il codice Javascript e non incorrere nel terribile errore di Warning “commentform has no properties“, occorre aggiungere dopo id=”commentform” anche questa stringa: name=”commentform” per ottenere quindi la seguente riga:

<form action="<?php echo get_option('siteurl'); ?>/wp-comments-post.php” method=”post” id=”commentform” name=”commentform”> […] </form>

Quindi, in definitiva, il codice da aggiungere al file comments.php del vostro tema (nel tema del mio sito è, invece, comments-paged.php perché uso il plugin per la paginazione Paged Comments) è:

/****** Math Comment Spam Protection Plugin ******/ get_currentuserinfo(); if ( $user_login != ‘admin’ && function_exists(‘math_comment_spam_protection’) ) { $mcsp_info = math_comment_spam_protection(); ?> <input type="text" name="mcspvalue" id="mcspvalue" value="" size="22" tabindex="4" /> <label for="mcspvalue">Protezione Spam: Quanto fa < ?php echo $mcsp_info['operand1'] . ' + ‘ . $mcsp_info[‘operand2’] . ‘ ? (Se Javascript è abilitato, sarà precompilato)’ ?></label> <input type="hidden" name="mcspinfo" value="<?php echo $mcsp_info['result']; ?/>” /> <script type="text/javascript"> var commentform; commentform = document.commentform; commentform.mcspvalue.value=eval((document.getElementById('num1')).innerHTML)+eval((document.getElementById ('num2')).innerHTML); </script> < ?php } // if function_exists... ?>

e nella dichiarazione del form occorre aggiungere:

name=”commentform”

Ed il gioco è fatto.

Alcuni consigli

Ora, però, non mi resta che darvi alcuni consigli.
Il primo potrebbe essere di personalizzare l’ID dei due tag SPAN in modo da rendere la vita difficile ai bot di spam: una standardizzazione di questa procedura potrebbe facilitare loro l’acquisizione del risultato della somma numerica.
Il secondo è che, così come è fatto il codice javascript, non permette l’uso di somme del tipo: “Quanto fa cinque + sette?” (cosa comunque permessa dal plugin, che però si aspetta che si immetta solo un risultato numerica). Se si ha necessità, occorre aggiungere un piccolo array di equivalenze (1=uno, ecc…): io non l’ho implementato perché non uso la notazione letterale dato che secondo me può generare confusione su come scrivere la risposta (potrei scrivere “undici” o “11” ma il plugin accetterebbe solo una risposta numerica anche se nulla vieta di implementare un hack per accettare anche risposte testuali).

Spero che questa guida vi sia stata utile e sono pronto ad accettare consigli e suggerimenti.

Tag:captcha, Javascript, Php, Plugin, spam, Wordpress

9 comments

Lug 11 2007

Il 94% delle email e dei commenti sui blog a livello mondiale sono SPAM

Posted by Antonio Troise

Spam Graph Speravo che la situazione fosse variata da Dicembre 2006, ma anche a Luglio 2007, il popolare filtro antispam per WordPress, Akismet, nella sua area statistica Live Spam Zeitgeist, rileva che il 94% dei commenti ricevuti sui blog sono di SPAM, esattamente come a Dicembre scorso. Dal grafico, però, si nota un incremento enorme del numero totale dei commenti di spam rispetto al periodo precedente preso in esame.

Spam Zeitgeist Stat La cosa curiosa è che la stessa percentuale del 94% riguarda anche lo spam inviato per email nell’ultimo mese del 2006. A ribadirlo è stata una delle aziende mondiali specializzate nel comparto della “email security“: Postini Inc (acquistata da poco da Google per 625 milioni di dollari). Addirittura rispetto al 2005 c’è stato un incremento del 147%, probabilmente dovuto sia all’ampliamento delle connessioni in banda larga, sia alla rapida evoluzione di trojan e malware per PC ingrado di creare, così, una rete definita tecnicamente “botnet” di “PC zombie”, cambiando letteralmente le regole del gioco. Infatti se in passato pochi spammers inviavano milioni di email dai propri server, periodicamente neutralizzati dalle black list. Oggi gli stessi cybercriminali possono utilizzare come rampe di lancio milioni di PC con falle di sicurezza, passando da pochi centri d’attacco, facilmente individuabili, a migliaia di piccoli centri periferici.

Come detto prima, però, è molto curioso che la percentuale di spam per le email e per i commenti nei blog sia la medesima: probabilmente perché l’origine è la stessa, ovvero gli spammer di mail si occupano probabilmente anche di spam per blog.

Tag:akismet, commenti, email, spam, Wordpress

4 comments

Lug 6 2007

Capovolgere il testo grazie alla potenza dell’Unicode: con il FLIP diremo addio alla codifica ROT13?

Posted by Antonio Troise

Ricordate quando nelle mail e nei newsgroup si usava la codifica ROT13, ovvero il cifrario a scorrimento (classico esempio di crittografia debole che si basa sullo scambio delle lettere, scorrendo di 13 posizioni avanti nell’alfabeto; la sua particolarità è che usando un alfabeto di 26 caratteri la stesso procedimento codifica e decodifica un messaggio: la prima volta la “A” diventa una “N” la seconda volta la “N” ritorna una “A”) usato per indicare che il testo offuscato conteneva soluzioni o spoiler di film o giochi e che il lettore potrebbe voler non sapere subito.

Ebbene, con l’avvento della codifica Unicode e la sua diffusione oramai capillare su quasi tutti i font, forse è possibile dire addio a questa tecnica per far posto ad una più interessante: scrivere il testo rovesciato di 180°.
Per farlo, basta che vi collegate al sito Flip che è in grado di ribaltare il testo dall’alto al basso e da sinistra a destra e di permetterne la visualizzazione in pagine che ammettono solo il testo.
Se poi volete ricapovolgere il testo e volete evitare di leggerlo a testa in giù o capovolgendo il monitor, potete usare questo altro tool.

Ho anche trovato chi si è divertito ad iterare il capovolgimento del testo.

1. Ciao ! Questa è una prova
2. ɐʌoɹd ɐun è ɐʇsǝnb ¡ oɐıɔ
3. ɔıɐo ¡ quǝsʇɐ è unɐ pɹoʌɐ
4.(=2) ɐʌoɹd ɐun è ɐʇsǝnb ¡ oɐıɔ

Quel che è certo è che scrivere testi “flippati” saranno difficilmente indicizzati da Google, anche perché a nessuno verrebbe in mente di ricercare un testo capovolto! Chissà, forse potrebbe essere un nuovo modo per scrivere email, al posto dei captcha, non facilmente leggibili dagli spam bot, almeno finché non si aggiorneranno.

Mi domando quando uscirà anche un’estensione per Firefox o Thunderbird.

Tag:flip, font, rot13, spam, unicode

0 comments

Lug 5 2007

Emailcover: antispam stile captcha ma poco accessibile

Posted by Antonio Troise

Emailcover è una applicazione online in grado di generare una immagine png della vostra email, in stile captcha, in modo da creare ulteriori difficoltà ai bot di spam che non avranno vita facile a decifrare la vostra email.
Il servizio è molto semplice e gratuito e, dopo aver inserito la vostra email, vi verranno dati i link diretti al vostro captcha, il link in formato html e bbcode per i forum.

Una cosa interessante è che, anche se si linka direttamente l’immagine PNG questa verrà sempre rigenerata in modo da cambiare ogni volta font, colori, posizione e angolazione dei caratteri.

Insomma apparentemente è un buon metodo antispam anche se, come ogni tecnica antispam grafico è vermaente poco accessibile. Infatti anche il W3C ha valutato inaccessibile i CAPTCHA (Completely Automated Public Turing test to Tell Computers and Humans Apart) visto che i non vedenti (o chi comunque abbia problemi legati alla vista, come gli ipovedenti) non potranno mai portare a termine con successo il test.

Tag:antispam, captcha, email, spam

0 comments

Mag 29 2007

reCaptcha: il primo sistema captcha antispam collaborativo per salvare migliaia di libri antichi sfruttando le 150.000 ore che ogni giorno l’uomo passa ad interpretare gli antispam

Posted by Antonio Troise

Ecco un sistema davvero geniale di fare captcha collaborativo: si chiama reCAPTCHA e sfrutta con maggiore produttività le 150.000 ore che ogni giorno l’uomo passa ad interpretare gli antispam!
Innanzitutto, però, occorre brevemente spiegare coso sia il captcha: prendendo spunto dalle teorie di Turing, il test captcha richiede ad un utente di scrivere quali siano le lettere o numeri presenti in una immagine che appare distorta o offuscata, in modo da discriminare se l’utente sia un umano o un computer (più precisamente un bot di spam). Di solito, li troviamo nei form dei commenti dei blog o nelle pagine di registrazione di servizi web.
Pensate che, ogni giorno, 60 MILIONI di CAPTCHA sono risolti da esseri umani in tutto il mondo; considerando che ogni utente spende circa 10 secondi per leggere, interpretare e scrivere il captcha, abbiamo 150.000 ore di lavoro uomo che andrebbero inutilmente sprecate!

Ebbene, grazie a Daniele, ho scoperto che una società ha realizzato reCAPTCHA, un sistema captcha che sfrutta il lavoro collettivo, reindirizzando produttivamente le 150.000 ore al giorno, per digitalizzare libri antichi della Internet Archive!

reCAPTCHA
Pare, infatti, che quando si scansiona un libro antico in maniera automatica, molto spesso il programma OCR incaricato di convertire le immagini digitalizzate in testo, non riesce nel suo lavoro, sia a causa dell’età del libro sia a causa della qualità della scansione.
Qualcuno potrebbe obiettare dicendo che si potrebbe benissimo lasciare il libro nel formato immagine (come il TIF che è adatto per la conservazione di più immagini in un solo file): in realtà ciò è sconsigliato perché, oltre ad occupare molto più spazio di un semplice testo in ascii, il contenuto non può essere ricercato e analizzato completamente, rendendo di fatto poco utilizzabile la scansione.

Quelli di reCAPTCHA, quindi, hanno pensato bene di sfruttare il sistema antispam per decifrare quelle parole che risultano incomprensibili ad un sistema computerizzato. Ovviamente, la domanda nasce spontanea:
“Ma se il computer non sa a che parola corrisponde l’immagine (visto che non è riuscito a digitalizzarla) come fa capire se la corrispondenza è giusta?”
Ebbene, anche a questo, vi è una soluzione che, almeno a mio parere, ha una buona valenza statistica: reCAPTCHA invia all’utente due parole: una è quella che non riesce a leggere mentre l’altra è una parola conosciuta. Ad entrambe vengono aggiunte linee e sono distorte alla stessa maniera, per cui, se l’utente riesce a leggere con esattezza la parola conosciuta (che è possibile verificare) possiamo essere certi (con un minimo margine di errore) che anche quella sconosciuta sia esatta!

In questo modo, oltre a proteggere il proprio sito dallo SPAM è possibile contribuire alla digitalizzazione di migliaia di libri antichi che altrimenti andrebbero persi! In pratica, si mette in condivisione l’enorme archivio di conoscenze umane per digitalizzare i libri scritti prima dell’avvento del computer.

Ma i vantaggi non finiscono qui: oltre a lasciare il carico (seppur minimo) per la creazione delle immagini ai server di reCAPTCHA, questo servizio web presenta anche un filtro attivo sugli indirizzi IP e sono pronti a garantire il costante aggiornamento della sicurezza del loro sistema, cosicché se qualche programmatore dovesse riuscire a creare uno spam bot in grado di leggere le loro immagini distorte (e qui il filtro sugli indirizzi IP svolge un ruolo determinante), sono pronti in brevissimo tempo, ad aggiungere ulteriori linee, distorsioni o rumori di fondo, senza dover reinstallare nulla!
Ovviamente, questi aggiornamenti nella protezione del sistema, oltre a difendere l’utente che si affiderebbe in toto a loro, serve anche a dare maggiore valenza alle traduzioni: cosa succederebbe se uno spam bot senza scrupoli, riuscendo a leggere senza problemi uno delle due parole di reCaptcha (probabilmente quella conosciuta da reCaptcha, visto che inevitabilmente è la più chiara), inviasse parole casuali per le traduzioni dei libri antichi?
Si rischierebbe di avere migliaia di libri senza senso per un danno economico, oltre che di immagine e di tempo, enorme!

Il sistema di reCaptcha si presenta, quindi, molto affascinate e un po’ sulla scia collaborativa di Wikipedia o altri sistemi di social network, oltre ai vantaggi, può presentare svantaggi se non venisse monitorato attentamente. In effetti, credo che, se il sistema della registrazione degli IP con le parole risolte, funziona correttamente, credo che l’unico problema sia la minima percentuale (anche se forse non trascurabile) di errore umano.

Un’altro problema che riscontro è che il servizio prevede solo la visualizzazione di parole inglesi! Se magari riuscissero a digitalizzare libri antichi italiani, forse reCaptcha sarebbe benissimo utilizzabile nei blog italiani. E’ anche vero, però, che molti sistemi captcha sono soliti usare la visualizzazione distorta di lettere scelte casualmente, per cui la presenza della lingua inglese nei captcha potrebbe essere meno dolorosa di quello che si potrebbe pensare.

Per rendere più usabile il sistema è stato previsto anche l’inserimento, per chi non riuscisse a leggere il testo, di un file audio disturbato da dei rumori di fondo, in cui si possono ascoltare 8 numeri da digitare poi nell’apposito campo. Certo, in questo modo non si aiuta il progetto di digitalizzazione dei libri antichi, ma si rende veramente universale il servizio!

Se volete usare reCaptcha, basta andare nella pagina delle risorse, e potete trovare 3 soluzioni di implementazione:

Application Plugins

Programming Environment Plugins

API Documentation

Molto interessante la presenza del plugin per WordPress di reCAPTCHA; qui trovate la procedura dettagliata per l’installazione.

Per maggiori dettagli potete consultare il forum su Google Groups oppure la pagina di reCAPTCHA su Google Code.

Tag:antispam, captcha, Libri, Php, Plugin, spam, turing, Wordpress

3 comments

Gen 15 2007

Combattere lo Spam dei trackback

Posted by Antonio Troise

Spam Qualche giorno fa scrissi del nuovo plugin WordPress che ho installato per implementare un sistema di anti-spam captcha di tipo matematico. Oggi voglio parlarvi di un altro plugin, dello stesso autore del precedente, nato con lo scopo di combattere lo spam dei trackback, spam che (insieme ai pingback) bypassa qualsiasi sistema di captcha poiché, visto che sono automatici, non si possono fare domande aritmetiche e domande di riconoscimento testi ad un computer.
E’ vero che Akismet funziona egregiamente (a volte anche troppo bannando anche utenti normali) e rileva, senza troppi problemi, un messaggio di trackback di spam, ma il problema è che ricevendo centinaia di messaggi di spam al giorno, risulta noioso andarsi a guardare pagine e pagine di spam. Ecco perché mi sono rivolto a Simple Trackback Validation Plugin. Ho fatto un test di un paio di giorni: su 252 messaggi di spam, 223 trackback sono segnati come spam (per ora li ho lasciati in moderazione ma poi li eliminerò direttamente), e 29 sono lasciati passare ma vengono comunque bloccati da Akismet: forse questi sono pingback. Chi sa come distinguere i due tipi di notifiche su WordPress?