Miedo al SPAM

Hola Amigos, os cuento mi duda:

Estoy terminando mi proyecto, web, es una aplicacion web donde los usuarios se registran y pueden participar enviando mensajes y haciendo una serie de cosas.

El miedo que tengo es el SPAM, toda la web completa es un WAR, no se si al SPAM le da lo mismo y también se meteria por aqui. La cosa es que por ejemplo la pagina de registro es una pagina sencilla que pide un nick, contraseña, mail y algunos datos personales, pero nada mas, no tengo nada para luchar contra el SPAM.

Para entrar en la web el registro es indispensable, si no, no podrías entrar.

Luego dentro de la web hay un tablón de mensajes, donde se muestran los mensajes enviados y para enviarlos hay una simple caja de texto con un boton enviar.

¿Me jodera el SPAM teniendo la web asi? ¿Que series de medidas puedo tomar?

Agradeceria que me informarais cuales son las medidas mas comunes y efectivas, para buscar informacion e implementarlas en mi web.

Y otra cosa que se me olvidaba... no hago ningun cifrado de contraseñas, la contraseña va a la BD tal como la mete el usuario en el registro ¿Esto es normal hacerlo asi? ¿Alguna alternativa?

Muchas gracias de antemano.

Un saludo!

Que sea un .war no afecta ni para bien ni para mal.

Si no pides nada que un ordenador no sea capaz de generar, entonces obviamente alguien puede escribir un programa que se registre automaticamente cientos de veces y machaque tus tablones a mensajes. Escribir un programa de esos no cuesta tanto como parece, ya que se usan tambien para verificar que los programas funcionan. Y antes de que alguien lo pida, no, no voy a dar más información sobre el tema .

Lo habitual es obligar a introducir algo que un ordenador no sea capaz de obtener automaticamente, como las letras de una imagen que se ofrecen en el momento del registro etc. Ese metodo se conoce como captcha y es muy utilizado. Tambien puedes obligar a realizar algunas acciones con el raton de forma visual, cosa dificil de emular por programa.. etc. Lo mas habitual es el captcha y ya hay librerias que te lo faciltan, como por ejemplo recaptcha.

Según el tipo de aplicación que sea, puede no tener demasiada importancia, aunque es mejor no hacerlo nunca así, o puede ser hasta ilegal tener las claves "en claro" (según la ley de protección de datos etc.) Lo habitual en estos casos es guardar la clave encriptada, de hecho solo se guarda un hash, y no hay forma de obtener la clave desde el hash. Para comprobar que la clave es la misma, basta realizar la misma operacion al valor que nos han pasado y comprobar que el hash es el mismo. Esa es la forma más habitual de guardarse las espaldas.

Tambien hay que tener en cuenta que la seguridad es una cuestion de inversion = coste/beneficio. Hay que evaluar las amenazas en cada caso y guardarse de esas amenazas, pero no todos somos Fort Knox ni un casino para que venga el equipo de Ocean's Eleven a robarnos .

S!

¿Me podrias facilitar alguna guia para añadir esta funcionalidad a mi web? He buscado pero solo veo para php, nada de JSP.

Me he quedao igual

Recaptcha aqui, sólo hace falta la la libreria de Java:
http://recaptcha.net/resources.html

Necesitas seguir los procedimientos descritos aqui:
http://recaptcha.net/apidocs/captcha/client.html

Y un ejemplo de usar el API de Java, aquí:
http://tanesha.net/projects/recaptcha4j/

Sobre encriptar las claves... aquí lo explican un poco más:
http://www.programacion.com/java/foros/27/msg/195910/

S!

Vale pues ya lo he conseguido meter en mi web, he metido el codigo de script el problema es que me registro, sin meter el codigo del recaptcha y me deja registrar. Hay algo que no va bien y no se el que :S