.: spam-war: new ideas for captchas and comment spam in blogs
di piko! (del 03/03/2007 @ 20:00:14, in _muy felìz :., linkato 19086 volte)
spam-war: new ideas for captchas and comment spam in blogs. can it be all so simple?

per i piccoli bloggers ecco le mie linee guida.

guidelines for little bloggers around the world, with very little programmation skillz.

la captcha è quella piccola immagine del quale dobbiam copiare il contenuto per dimostrare che siamo umani. il fatto è che i numerossissimi bot-wanderers che son stati programmati da gente che non ha di meglio da fare durante la notte, carpiscono più o meno facilmente gli algoritmi per generare le parole contenute nella captcha. c'è chi metteva parole di senso compiuto, e gli spammer hanno aggiunto ai bot interi vocabolari in tutte le lingue. c'è chi mette piccole variazioni a parole di senso compiuto, ed ecco che i bot provano anche le variazioni di una lettera con il resto dell'alfabeto sulle varie posizioni della parola. c'è chi ha provato con i numeri, ma spesso si basavano su algoritmi di calcolo semplici, con numeri random ed elaborazioni sulla attuale data/ora del server.

captcha is a little image, server side driven, from which we have to read a code, and write it in a form, in order to demonstrate that we are human. the fact is that uncountable bot and wanderers understand easily the algorithms behind captchas. beacause in the beginning there were common words, then words with little variations (similar to orthographic errors), last numbers based on simple algorithms, such random numbers and date/time of the server.

ma il fatto principale della captcha, è che non è accessibile ai portatori di handicap. un mio amico non vedende, che gli algoritmi di programmazione ce li ha al posto delle sinapsi, si trova sempre incasinato. abbiamo fatto tanto per fare il web2.0, per l'xhtml, per i dati che passano da un sito all'altro in un'attimo, abbiamo detto che separando il testo dal codice era possibile permettere la navigazione anche ai disabili, con alcune accortezze, ed ecco che li tagliamo fuori da uno dei più grandi approdi della blogosfera: la possibilità di dir la propria.

the fact is that captchas are not accessible to people with handicaps. a blind friend of mine, can't use the so-called web2.0 websites to post a single comment: and web2.0 was the accessibile one, the next big step of the internet!

alcuni hanno cominciato a metter operazioni semplici, del tipo "0+2-2=?", e scrivendo "0" il commento veniva approvato. un pò pochino, perchè i bot posson provare combinazioni di caratteri alfanumerici da 1 a quante ne vuoi di cifre. altri han provato con domande semplici, del tipo "di che colore è il cavallo bianco di napoleone?", non considerando forse che internet parla migliaia di lingue.

so, some started with simple operations, like "0+2-2=?": writing "0" the comment is approved. but it takes a while to force this escamotage: a bot can try multiple combinations of alphanumeric characters between 1 and 10.000 digits! others tried with simple questions: "what is the colour of the white horse of napoleon?", not considering that internet is the greatest multilingual meltin'pot in the world...

altri si sono incaponiti nel rendere irriconoscibili le letterine ai sistemi ocr con righe colorate, sfondi che diminuiscono il contrasto delle lettere (grigio su blu elettrico, wow! ma cosa c'è scritto?! e son pure brutte...), deformazioni delle stesse, che però rendono impossibile digitare l'esatto codice anche ad un essere umano privo di handicap (vedi google!).

the best thinkers created the google-like anti-ocr captchas: full of coloured lines, low-contrast backgrounds (mid-gray on electric blue, wow! but... what's written, uh?! ugly...), or deformed letters. even a non-handicapped human can't write the exact code!

allora io dico, proviamo una soluzione che allunga un pò i tempi per postare un commento, ma che nessuno può fregare, perchè i bloggers non sono generalmente molto esperti, ma sono tanti in numero.

so, i say: let's try a simple solution, that makes posting a comment a longer task, but saves accessibility and people with handicaps. we are bloggers: not very skilled in programming, but surely BIG in number.

il difetto dei plug-in per gli attuali cms è che, proprio per la loro natura open source, posson esser facilmente retroingegnerizzati, carpendone gli algoritmi. bisognerebbe creare un plugin personalizzabile da ogni sito con la propria lista di parole chiave, ad esempio.

actual plug-ins, due to their open-source nature, can be easily retro-engineered. knowing the algorithm, it is relatively simple to spam. we have to build a fully customizable plug-in, so every website can use its list of keywords and codes.

si può affiancare alla captcha (se proprio indispensabile) un altro campo in cui è necessario inserire una parola chiave, che viene controllata. del tipo: inserisci in questo campo la frase "the great rock and roll swindle". il sistema, all'invio del commento, fa un controllo, e se nella casella aggiuntiva c'è la frase giusta (e anche il captcha se c'è ancora), procede all'inserimento del commento.

we can place (also side by side with captcha) a little form, in which we have to write a key-word that our server controls. this is like: insert in the field the phrase "the great rock and roll swindle". the system, posting data, controls that field, and if the text is correct (and also the captcha, if it has still to be completed), the system posts the comment.

cosa potrebbero fare gli spammers: aggiungere un'opzione ai loro bastardi bot nella quale inserire manualmente la parola per una dato sito.
cosa possiam fare noi: cambiare la parola ogni volta che torna lo spam, costringendo di conseguenza lo spammer ad aggiornare la parola manualmente. moltiplicato per milioni di siti, diventa insostenibile. grandi sistemi possono usare codice e parola ovviamente.

what can spammers do: adding an options to their bastard-bots in which insert manually the keyword for the particular website.
what can we do: change that keyword everytime spam enters. so the spammer has to refresh the keyword in his bot's list. multiplied for millions of website, it is impossibile that a stupid guy with a damn-spam-server wants to pass his life writing different keywords for every website he wants to bomb.

cosa potrebbero allora fare gli spammers: un sistema che prova tutte le parole presenti nella data pagina, oppure cerca parole tra apici.
cosa ne penso io: sarebbe improponibile. per postare un solo commento sarebbero necessari troppi tentativi, e soprattutto bisognerebbe azzeccare il campo giusto in cui inserirlo. inoltre, il tag no-follow interverrebbe (credo). ovviamente non mettete le parole giuste proprio sopra il campo da compilare.

so, what else can spammers do: a system that tries to submit as captcha every word in that page, or searches between brackets or special characters.
what i think about this: foolish. to post every comment a bot will need too much time, and it has to choose the right field in which post the correct word. also, i think that the no-follow tag will block this. but, don't put that magic words near the correct textfield...

nei grandi sistemi ovviamente andrebbe affiancata al captcha. per i piccoli bloggers, che sono moltissimi, è l'ideale.

obviously, in bigger systems this field has to work side-by-side with capthca. but this article is for little bloggers, not for google.

si potrebbe anche scriver già il testo dentro il campo da compilare, con una parte da cancellare, come si fa già per alcuni indirizzi e-mail.

we can also pre-write the correct text in the field, with a part to delete, like i do with e-mail addresses.

per gli indirizzi email, ad esempio: il mio indirizzo è 17@amolenuvolette.it, io non lo linko come 17 [at] amolenuvolette [dot] it, oppure 17[at]amolenuvolette.it, come fanno molti. lo linko in questa maniera:
scrivimi una e-mail [perdonatemi, ma non ho tempo per sistemare questo fatto].
in questa maniera si apre l'editor del messaggio di posta, ed una persona davvero interessata ad inviarvi una email cancellerà di certo l'aggiunta del testo antispam, che può esser variabile e modificabile a piacere.

example: my address is 17@amolenuvolette.it, i link it not as 17 [at] amolenuvolette [dot] it, oppure 17[at]amolenuvolette.it, but like this:
scrivimi una e-mail [excuse me, but now i have not time to fix this].
this way, clicking on it, the email editor opens, and someone who is really interested in writing me that email, surely notes that strange pre-text, deleting it.

per i commenti invece, nella casella va inserito un testo già compilato del tipo:
DELETETHEUPPERCASETEXTtestovalido
in modo che l'utente che vuol postare un commento debba solo cancellare la parte in maiuscolo.
questo però potrebbe causare la furbata da parte degli spammers, che andrebbero a pescare il testo già scritto ed usarlo. se voi però fate una cosa del tipo DtEeLsEtToEvUaPlPiEdRoCASE, già è molto più difficile. quindi, ascii-artists mondiali, sbizarritevi!

for the comments, we have to insert in the field something like this:
DELETETHEUPPERCASETEXTvalidtext
so, user who wants to post the comment has only to delete the uppercase part, whitout transcribing errors.
but, in this way spammers can use the text, yet written in the correct form. but if you create a text like this: "DvEaLlEiTdEtUePxPtERCASE", this is hard to delete correctly by a bot. so, ascii-artists from all around the world, let's get it on!

ringrazierò chiunque abbia la voglia di costruire plug-in per i più diffusi cms con questa idea.
il plug-in dovrà ovviamente contenere la possibilità di assegnare una lista di parole/codici facilmente modificabile, così ognuno potrà usare la sua.
per ora chi è capace dovrà modificarsi il codice da solo. direi che la priorità è per l'italianissimo d-blog, che è un ottimo prodotto per cominciare, ma soffre di spammite. word press invece ha askimet, che è una contromisura mooolto seria. se ne potrebbe anche far a meno con questi metodi. quindi, caro google inventore del captcha, aspetto una tua email.

ps: tutto questo non è ancora attivo sul mio sito. quando avrò un pò di tempo lo farò, promesso. le idee vengon sempre quando sei sotto un macigno di lavoro arretrato...

i will show gratitude to everyone has the patience to build plug-ins based on this ideas, for the most diffused cms (content management systems).
the plug-in must contain the possibility to assign a personal list of keywords/codes, and must be easily customizable.

post scriptum: this ideas are not yet active on my website. i will try to do this in the future, but is common that such ideas come when you are submerged by work. is such a form of rebellion.
post post scriptum for foreign readers: marco infussi, 24 years old, is an italian engineer and visual artist, researching in web-art, nanoelectronics and computer human interfaces. thank you for the great number of emails [and the GREAT number of spam! you fuc§*n bastards!], i will post answers in the future or in another article. due to a car-crash, i have to work double, so... let me take a little time to earn money and buy another car. if you want to buy some of my artworks... it will help me!

ho dovuto cancellare i commenti postati e chiuderli per via... dello spam! : - )
i had to remove all the comments and close the comments due to... spam! : - )