Prevenir spam en envío de formularios

u_goldman · #1 (**permalink**) 21/08/2008, 18:40

Estimados todos:

Estoy haciendo una aplicación que requiere el uso de AJAX para algunos formularios, aunque tienen la condición que funcionan como formularios por post si el usuario tiene JavaScript desactivado.

El uso de JavaScript supone que tengo que envíar valores por URL del archivo del form a un archivo "trigger" el cuál se encarga de recoger los valores, llamar al método correspondiente de envío de email y regresar una respuesta; al ser un archivo en aislamiento, se encuentra desprotegido ante eventuales ataques de spambots.

No puedo usar un captcha para protegerlo pues se necesitaría pasar el valor por URL -sale la misma cosa- y utilizar REFERER me parece además de anticuado, insuficiente.

¿Alguna idea para que este archivo solo permita llamadas locales?

Saludos

Shiryu_Libra · #2 (**permalink**) 21/08/2008, 20:14

, creando una semilla al cargar el formulario, guardandolo en el servidor para posterior verificacion, sin esta semilla no continuaria....

esta semilla podria utilizar la ip del cliente, junto con algunos hashes que serian aleatorios, o algunos datos encriptados

no se que opine chief??

u_goldman · #3 (**permalink**) 21/08/2008, 22:21

Una sesión o una cookie...con algún identificador, suena bien caballero del zodiaco, el único problema sería que si no hay cookies, no hay formularios...

Una cosa que se me ocurrió en el camino fué hacer un text con un value vacio, y ocultarlo con css, si dicho campo llega lleno quiere decir que lo llenaron automáticamente, y entonces se rechaza, aunque siempre existe la alternativa de los usuarios curiosos que deshabilitan las css.

¿Usted que opina?

Myakire · #4 (**permalink**) 22/08/2008, 08:45

Cita:

Iniciado por u_goldman

Estimados todos:

Estoy haciendo una aplicación que requiere el uso de AJAX para algunos formularios, aunque tienen la condición que funcionan como formularios por post si el usuario tiene JavaScript desactivado.
----------------------------
No puedo usar un captcha para protegerlo pues se necesitaría pasar el valor por URL -sale la misma cosa- y utilizar REFERER me parece además de anticuado, insuficiente.

A ver, eso no lo entiendo ..... ¿por qué eso de que se mandan por post si tiene js desactivado? ¿por qué no mandas SIEMPRE por post el formulario con Ajax?

Cita:

El uso de JavaScript supone que tengo que envíar valores por URL del archivo del form a un archivo "trigger" el cuál se encarga de recoger los valores, llamar al método correspondiente de envío de email y regresar una respuesta; al ser un archivo en aislamiento, se encuentra desprotegido ante eventuales ataques de spambots.
--------------------------
Una cosa que se me ocurrió en el camino fué hacer un text con un value vacio, y ocultarlo con css, si dicho campo llega lleno quiere decir que lo llenaron automáticamente, y entonces se rechaza, aunque siempre existe la alternativa de los usuarios curiosos que deshabilitan las css.

Pues si, creo que cumple el objetivo, aunque igual no entiendo por que no usas un simple hidden.
Yo me iría por lo que Shiryu_Libra recomienda, es así como funciona el MD5 si te fijas, se encripta en el cliente con una semilla, luego en el servidor con esa misma semilla y si coincide ya la hiciste, como Shiryu_Libra comenta puedes generarte una semilla en base solo a algo que este en local y que el spammer no tenga a la mano.

u_goldman · #5 (**permalink**) 22/08/2008, 11:52

Cita:

Iniciado por Myakire

A ver, eso no lo entiendo ..... ¿por qué eso de que se mandan por post si tiene js desactivado? ¿por qué no mandas SIEMPRE por post el formulario con Ajax?

A lo mejor no me expresé correctamente, a lo que me refería es a lo siguiente

Código:

<input type="button" value="Enviar" onclick="funcionQueLlamaAjax();" class="noscript" />

<noscript>
   <link rel="stylesheet" href="noscript.css" media="all"></link>
   <input type="submit" value="Enviar" />
</noscript>

Donde la css tiene un display:none; para la clase noscript, esto es, si el cliente tiene javascript desactivado el tag de noscript mostrará un botón de submit y la css correspondiente para ocultar el botón que llama al método AJAX, y mostrará el submit para envíar el formulario.

Cita:

Pues si, creo que cumple el objetivo, aunque igual no entiendo por que no usas un simple hidden.

Porque de la manera que funcionan los spam bots es llenando los campos que se supone deberían ser llenados, un hidden puede o no tener valor porque no depende realmente del usuario, entonces la idea es hacer un campo que funcione como hidden pero para los spam bots sea un input más a llenar.

Cita:

Yo me iría por lo que Shiryu_Libra recomienda, es así como funciona el MD5 si te fijas, se encripta en el cliente con una semilla, luego en el servidor con esa misma semilla y si coincide ya la hiciste, como Shiryu_Libra comenta puedes generarte una semilla en base solo a algo que este en local y que el spammer no tenga a la mano.

Gracias, como comenté me parece una excelente idea, solo que no me deja cómodo el hecho de que no se podría envíar el formulario en caso de no tener cookies, pero siempre se debe correr cierto riesgo

¿Alguna otra idea?

Shiryu_Libra · #6 (**permalink**) 22/08/2008, 12:07

pues no necesariamente tendria que ser una session o cookie, por que si bien sabemos se podria realizar un procedimiento basado en XML o en una tabla temporal para dichos usuarios.....

en relacion a lo del CSS, pues eso vendria siendo un albur... ya que si bien es cierto que la gran mayoria de los usuarios sabe deshabilitar el javascript, pocos son los que deshabilitan el CSS, en esos raros casos, es cuando podrias tomar el consideracion el metodo de ataque del SPAM

por que no llamamos a los de CSS para que nos den una alternativa en relacion al deshabilite de CSS???

ideas lokas de viernes frenetico

u_goldman · #7 (**permalink**) 22/08/2008, 12:11

Cita:

Iniciado por Shiryu_Libra

pues no necesariamente tendria que ser una session o cookie, por que si bien sabemos se podria realizar un procedimiento basado en XML o en una tabla temporal para dichos usuarios.....

Creo que acabas de dar en el clavo, una tabla tempral en otra base de datos (para evitar las transacciones en la misma) que asocie el session.sessionID con un hash insertado en el onsubmit o mediante el método AJAX de tal manera que pueda ser un componente que solamente se pueda "conectar encima" de las formas, y si la conexión a aquella base de datos falla, el form se envía de todas maneras. El registro en cuestión se borraría una vez envíada la forma.

Buen punto, creo que trabajaré por esa senda

Shiryu_Libra · #8 (**permalink**) 22/08/2008, 13:38

.... Salut!! por eso

.....

....

Cita:

que no se le olvide proporcionar el codigo para que otros usuarios lo pueda mirar

u_goldman · #9 (**permalink**) 22/08/2008, 13:40

Si, de hecho lo voy a colgar aquí tan pronto lo termine así me ayudan con la testeada

Myakire · #10 (**permalink**) 22/08/2008, 18:05

No pues yo creo que Shiryu_Libra y u_goldman toman de la misma botella, por que la neta parece que el asunto era más claro que el agua y yo no me enteré (y sigo sin enterarme) exactamente del asunto

En fin, seguro es por que hesta semana he quemado demasiadas neuronas aquí en la chamba (y no trabajo en una cantina

)

Shiryu_Libra · #11 (**permalink**) 22/08/2008, 18:07

jajajjajajajjaja, bueno.... pero pase la botella para aka

JuanRAPerez · #12 (**permalink**) 22/08/2008, 20:32

me apunto en:

- la botella
- y ver el codigo

a su salud!

:)

u_goldman · #13 (**permalink**) 22/08/2008, 21:37

Queridos todos, aquí les dejo el juguetito, aún está en alfa pero le hice dos que tres pruebas y se comporta aceptablemente, existe una condición que ya no me dió tiempo de manejarla, que corresponde al método DeleteAllUnusedSeeds() este método lo implementaré después -a ver cuando

- básciamente la lógica detrás de él, es eliminar todas las entradas cuyo campo de fecha es de hace 30 minutos o más, pues seguramente la forma nunca será envíada mediante esa sesión.

La lógica de la aplicación está descrita anteriormente, y el ejemplo está muy sencillo es una forma envíada por post, pero la implementación puede ser hecha con valores recuperados por querystring, básicamente se trata de pasar ciertos valores a un objeto ASP, todo está encapsulado para mayor transparencia de implementación.

Comentarios, sugerencias e insultos son siempre bienvenidos.

Saludos

Shiryu_Libra · #14 (**permalink**) 23/08/2008, 21:21

hasta ahorita todavia no puedo hecharlo a volar, por que no tengo instalados los IIS, en ninguna de mis maquinas

y como apenas acabo de obtener una pequeña laptop (XPS M1210), que viene con vista, pues ando realizando las instalaciones pertinentes de los programas

pero nomas termine, y ataco ese codigo para los "Comentarios, sugerencias e insultos" requeridos en el presente post

pero a simple vista en el notepad, se paso Master

ya estoy esperando a que llegue Sensei Tiguron, para la ronda ....

salut!!

Myakire · #15 (**permalink**) 25/08/2008, 09:31

Al rato le hecho un ojo a ver como el buen u_Goldman resolvió el problema

Cuándo lo haga complaceré a U_G dejándo mis apreciaciones en orden inverso a como lo solicitó