コメントスパム対策について

いつもお世話になっていますm( __ __ )m

ブログや掲示板のコメントやトラックバックにエロサイトの URL を貼り付けていくプログラムに対策する手段として以下のようなことを考えました。

1. コメント欄 HTML を生成する PHP ファイルや CGI を改造して、出力する <form> ～ </form> を難読化します。
※ 具体的には URL エンコードか何かでとりあえずそのままでは読めないようにします。もし必要であれば暗号化も考えています。

2. ユーザー側ブラウザの HTML ソースファイルには javascript を使って、1 で難読化したコードをデコードして Document.Write で表示するようにします。

3. スパムプログラムの挙動として巡回しながらページ内に form 、input 、submit などのタグを見つけて、スパムリクエストを生成すると考えています。
ですので、HTML 上にそういったタグが存在しなければスパムしようにもできないのではないかと考えました。
また、スパムプログラムの性能としてソース内の Document.Write の内容を URL デコードして解析までやるとは思えませんでしたので、今のところ暗号化までは必要ないかなと考えました。

【結果】
全体のシーケンスとしてはうまく動いていまして、
ブログ上で右クリック → ソースを表示 とやってもエンコードされた文字列が見えるだけで、<form> や <input> タグ、submit、text、など
通常使われるであろうコードは全く見当たりません。
もちろん閲覧者は普通に操作できます。

【懸念点】
・ クライアントが javascript をオフにしているとコメントフォームそのものが存在しない状態となります。

【質問】
まず、この案についてどう思われるか、皆さんの意見が聞きたいです。

皆さんの意見で実用性が高ければ自分のウェブページで詳しいやり方を記載して、スパムに困っている人のために一つの回避案として載せたいと思っています。もちろん改善するべきことはたくさんあると思いますのでそういった意見もたくさん聞ければ幸いです。

この方法で、スパムできるロボットが存在するかどうかといった辺りが一番聞きたいところです。

No.1 回答者： yambejp 回答日時： 2009/08/10 00:55

結論から言えば、javascriptでセキュリティ対策をおこなうことは

あまりいいやり方だとは思えません。
ご自身でも指摘されているようにjavascriptを前提としないシステムは
たくさんあります。javascriptがキーになるということはアクセシビリティ
を犠牲にするということです。自己満足にはなっても汎用性のある仕組みと
してはとても使えず、実用性はほぼありません。

この回答へのお礼

回答ありがとうございました。

なるほどぉ。やはりそう考えますよねー。
ただ、スパムロボットの立場になった時に、やはりターゲットの姿が見えないというのが一番きついかなと考えて実験中なのです。

もちろん Akismet のような撃退プログラムがクライアントには一番良いのでしょうが・・

もしも私が目指すような、スパムロボットから姿を隠す方法を知っていましたら教えて頂けませんでしょうか。

お礼日時：2009/08/10 14:27