L'art de faire chier le monde
Par Petaramesh le mardi 9 janvier 2007, 08:16 - General - Lien permanent
Plus de 1200 spams de commentaires reçus en 8 heures sur ce blog, entre cette nuit minuit et ce matin 8 heures environ... Presque tous bloqués par l'antispam Akismet, seuls 7 ou 8 sur 1200+ sont passés à travers.
Mais la seule vidange de ma file de spams bloqués devient une véritable corvée. Vraiment, je n'arriverai jamais à comprendre que certains puissent déployer autant d'efforts pour faire chier le monde...
Je dois prévenir mes amis lecteurs : Si jamais l'un de vos commentaires atterrit en "file de modération" (c'est malheureusement le cas quasi-systématique pour deux d'entre-vous dont les adresses IP figurent sur des listes noires utilisées par l'anti-spam) prévenez-moi par mail via la page contact, parce que quand j'ai 1200 spams dans la file de modération, je vide tout, hein, je ne lis pas... Donc s'il y a des commentaires légitimes noyés dans la masse de merdes, ils passent hélas à la trappe avec... Je ne peux pas lire 1200 spams 4 fois par jour :-(
7000 commentaires légitimes sur ce blog en un peu moins d'un an. Mais 1200 merdes en 8 heures...
Vraiment, je suis contre la peine de mort. Sauf pour les spammeurs.
Commentaires
J'ai la chance de ne pas être confrontée au problème pour le moment. Peut-être parce que mon blog est très très confidentiel.
C'est flipant...
D'ailleurs c'est une raison pour laquelle je ne fais pas de blog.
C'est trop technique.
J'ai juste eu une extension Mozilla (totalement inutile)
Tu clic droit, dans l'onglet : I m afraid.
Et ça réponds : Don't be afraid, the world is nice.
Je suis gravement pas geek, donc je comprends pas tout. C'est quoi ces spams? De la pub?
Peut-être que ça s'attaque pas aux blogs bisounours ;-)
Sur mon blog de test de dc2 (un blog de test, donc avec un pagerank nul, très peu de lien pointant vers lui, tout ça), j'avais activé Akismet pour voir (j'avais eu quatre trackback spams auparavant). Et le lendemain, ça a commencé.
Le fil de syndication des spams est toujours à 100 (probablement son maximum), et je me farci moi aussi la vidange des spams, bien plus que sur mon vrai blog, resté en dc1. Alors... ai-je installé Akismet juste au bon moment, ou alors celui-ci serait-il un appât aux spams (ce qui serai bien farfelu, mais bon) ?
D'ailleurs ce plugin me gène : il envoi - me semble-t-il - tous les commentaires sur le serveur d'Akismet pour vérification, ce qui est assez gênant question confidentialité. Et vu que sous dc1 spamplemousse couplé aux trackbacks à durée limitée bloquait tous mes spams, je me demande si je vais garder Akismet.
Il va falloir qu'on y arrive : une signature pgp à la fin de chaque commentaire...
Allez, bon courage, je vais aussi aller faire un tour en arrière boutique pour la vidange.
@Le Gabian :
Voilà. Des milliers de pubs pour des produits miteux, destinés seulement à faire bouffer les liens aux moteurs de recherche qui parcourront mes pages...
.
Bon sang mais tout s'éclaire ! (ou "mais c'est bien sûr" mais y a t'il encore des gens qui connaissent ça, dans ce monde de d'jeun's ?)
Les spams, je voyais bien ce que c'était, j'en ai plein ma boitamél, mais je n'en voyais pas l'intérêt pour un blog... C'est donc ça ! Plus il y a de liens vers eux et "mieux" ils sont référencés sur les moteurs de recherche... J'allais dire "pas con" mais je n'ai pas l'impression que ça s'applique vraiment à la situation.
Vache, depuis ce matin, j'ai bien du en bouffer 2000 de mieux :~/
C'est pas possible, c'est un coup de l'U.M.P., ça, non ?
Il y a peut-être une autre explication::
Tous les commentaires sont envoyé à un serveur central, donc si on post enormement de post sur enormement de blog utilisant ce système, on a un DDoS sur le serveur central !
Et c'est les utilisateurs du service qui le font.
Vicieux, non ?
ps: DDoS == saturation de ressource distribué
-BEGIN PGP SIGNED MESSAGE-Hash: SHA1
> C'est pas gagné pour le vulgum pecus...
Parce que la technologie manque de visibilité (elle n'est finalement pas si compliquée que ça, et il serait très facile de créer des interfaces faciles à utiliser - on pourrait d'hors et déjà faire une extension firefox, par exemple).
Mais si - par exemple - tous les logiciels de messagerie se mettaient à l'intégrer, et conseilleraient fortement les utilisateurs à l'employer, notamment ça serai aussi une solution contre le spam en mail, mais ça permettrai en quelques années de lui donner une grande diffusion (car les principaux éditeurs de clients mails sont bien souvent les fournisseurs d'accès, microsoft inclut, qui sont aussi victime du spam mail par la bande passante utilisée).
Je crois que c'est une bonne solution, utilisable assez généralement, et posant pas mal d'embûches aux spameurs. Et j'ai encore l'espoir que mes contemporains ne sont pas tous des crétins, aussi je pense qu'avec une vraie volonté de certains grands, on pourrait l'adopter à grande échelle.
Y'a plus qu'à.
-BEGIN PGP SIGNATURE-Version: GnuPG v1.4.3 (GNU/Linux)
iD8DBQFFpUGI3uynSfJ1uGoRArjRAJ0eBok8WfoXwAvP1+HexgKDtRwzcwCfULJa
bP6yW7o4ImGG61ppOwiln+E=
=iSxN
-END PGP SIGNATURE-(Faudra aussi songer à la compatibilité avec les syntaxes wiki :-/ )
@Thesa :
HouhouhouWhouaahahahahaaaa ! !
@ Thesa :
Et ça, mon repéreur-de-spam-qu'est-dans-ma-tête aurait tendance à me dire que c'est une ligne de code inconnue de moi-même, je ne sais pas à quoi ça sert, donc c'est potentiellement dangereux ("was der Bauer nicht kennt frisst er nicht" comme disait mon arrière-grand-mère alsacienne et que j'ai traduit en allemand parce que je ne sais pas écrire alsacien (was te bö ni kennt frist er nit ?) et qui signifie ce que le paysan ne connaît pas, il ne le mange pas.) hop! je "djerkte"...
Ok, ce commentaire ressemble aussi à une ligne de code inconnue, vous pouvez la mettre dans le Biomüll (= poubelle de tri pour compost à l'allemande).
@Thesa :
Ce n'est pourtant pas faute d'avoir essayé. La technologie PGP existe depuis maintenant 15 ans, des militants et bénévoles se sont cassés le tronc à tenter de vulgariser son utilisation pendant des années, sensibiliser le public à ces questions ; le réseau Echelon est connu comme le loup blanc et le parlement européen à même publié plusieurs rapports à son propos depuis l'an 2000, à commencer par le célèbre "Interception capabilities 2000", mais fondamentalement, la sécurité informatique et a fortiori la cryptographie, les problèmes de confidentialité de leurs données numériques, les utilisateurs d'informatique lambda s'en tamponnent les cacahouètes. L'utilisateur Windowzien lambda, sa seule conception
de la sécurité informatique se borne à installer un antivirus, bien aidé en cela par les éditeurs d'antivirus, les criantes vulnérabilités de MS-Windows et les vendeurs de FNAC et consorts - qui n'en connaissent guère davantage.
>
Elles existent depuis belle lurette. Beaucoup de clients mail intègrent en natif GnuPG ou PGP. C'est le cas de KMail par exemple (je parle de celui-là parce que c'est celui-là que j'utilise...). Même un webmail comme SquirrelMail possède son plugin PGP.
Sous Windows, il y a des utilitaires comme WinPT également livrés au sein d'ensembles complets et ambitieux comme GPG4Win.
Qu'on ne vienne pas dire que les outils manquent...
>
Comme le chiffrement est davantage destiné au mail qu'au web, l'extension est davantage destinée à Thunderbird ou Mozilla mail. Elle existe et s'appelle EnigMail. Quoi d'autre ?
Mais quand les gens s'en foutent et ne veulent se donner aucun mal, même si les outils sont disponibles, faciles à utiliser, et si on communique, autant uriner dans un Stradivarius...
>
Tous, sans doute pas, mais de nombreux le font, et la majorité des autres peuvent le faire en installant un plugin ad hoc.
>
Après des années de militantisme en ce domaine, je n'ai plus aucun espoir à ce propos. Je suis lucide : Certains appellent ça du pessimisme.
@Ga(i)elle :
Vieux réflexe Windowzien :-D
Les explications sont là. Ainsi qu'à de nombreux autres endroits.
Tout ce que tu me cite est plus ou moins connu du geek lambda, mais je pense que l'étape suivante serait l'adoption de cette technologie par des gens comme Microsoft, et les FAIs. Quand je vois leur force pour imposer quoi que ce soit, je n'ai pas de doute vis à vis de la diffusion de la technologie (même si les méthodes sont souvent discutables), leur force est - hélas - largement supérieure au parlement européen et aux utilisateurs de logiciels libres - c'est pourtant pas faute d'essayer de faire changer la tendance).
Et comme il leur faut une motivation - le fric - il y a tout de même une économie de bande passante assez conséquente à faire en éliminant le spam. Sachant que les logiciels mails les plus utilisés en grand public sont les webmails des fournisseurs d'accès (directement concernés) et Outlook Express (ne nous voilons pas la face), édité par Microsoft, FAI aux États Unis, tous ont quelque chose à y gagner. Reste plus qu'à leur donner l'idée. Jusqu'à il y a deux ans, PGP n'était qu'un truc de geek parano. Aujourd'hui, ces sociétés ont un intérêt à le diffuser largement.
(/me va tester enigmail pour Firefox, extension qu'il utilise tous les jours dans Thunderbird, mais qu'il n'avait jamais songé à utiliser dans Firefox...)
Peut-être est-ce une question d'expérience ?...
@Ga(i)elle :
Si la solution que je tente de défendre était adoptée largement, les moteurs de blogs n'afficheraient plus tout ce charabia, l'utiliserai seulement pour séparer le bon grain de l'ivraie.
@Thesa :
C'est qui, ceux-là ?
Ne me parle pas du côté sombre de la Force...
@Thesa : Pour ajouter une réponse plus sérieuse bien que relativement brève (les commentaires de ce billet sont un endroit peu approprié pour discuter de la problématique générale de la lutte contre le spam par l'authentification), l'authentification n'est pas une mauvaise idée en soi, bien qu'elle restreigne d'une certaine manière la "liberté d'aller et venir" sans s'authentifier à tout coin d'Internet. Embêtant quand même.
On n'y arrivera certainement pas rapidement compte tenu de la complexité de la question et du nombre d'applicatifs et de protocoles concernés - qui pour la plupart ne prévoient pas ce genre de chose dès l'origine.
PGP n'est certainement pas la solution d'authentification qui serait la plus adaptée à ce type d'utilisation.
Tous les intervenants commerciaux du marché pousseraient certainement vers des solutions centralisées, commerciales, payantes genre usage de certificats X.509 payants, et certainement pas vers des solutions libres et gratuites pour des raisons que tout le monde comprendra.
Microsoft n'adoptera jamais ni ne participera honnêtement à l'élaboration par l'industrie d'une solution libre et gratuite. Jamais. C'est contraire à leur religion. Ils essaieront toujours d'embrasser pour mieux étouffer, s'approprier la technologie, la breveter pour leur compte et imposer leurs "licences". C'est pourquoi ils n'adopteront jamais un produit qu'ils n'ont pas d'espoir de pouvoir "capter" par la suite. Si tu en veux un exemple, la débâcle du groupe de travail MARID de l'IETF du fait de l'attitude de Microsoft en constitue un particulièrement typique (et déplorable).
D'autres questions ?
Mouais...
Le mail est tout de même un domaine plutôt interopérable (si l'on considère le fait que le html dans le mail soit devenu un standard de fait), et ça, Microsoft aura dû mal à le briser (nul doute qu'il tentera).
Mais je crois que je vais songer à bricoler quelque chose pour DotClear 2 (une fois que j'aurais basculé mon site sous cette version), histoire de voire ce que ça donne... (Sauf que le php... hum... bof).
Je pense qu'il faut faire très attention à ce qui doit être authentifié. Par exemple, je pense dans le cadre d'un blog, que le message doit être authentifié (d'où la signature), mais que le visiteur doit rester anonyme, et même que les commentaires doivent accepter les messages non authentifié, simplement leur faire subir les panoplies habituelles de filtres. Je ne vois pas en quoi la lecture nécessiterai une authentification (même si j'en comprend tout de suite l'intérêt pour des systèmes marchands).
L'authentification doit être facultative. Ce doit être une façon de dire , alors qu'un commentaire (ou trackback) sans authentification doit rester valide, simplement être plus suspect. Avec le risque qu'il soit jugé négativement par des filtres de spam.
Après tout... le mieux reste encore à le tester.
Le machin pour agrandir la zone de commentaire, c'est maison, ou ça vient du thème de Kozlika ? Parce que c'est super pratique, j'ai bien envie de te le repiquer !
@Thesa :
Commencer par là, c'est aller du principe de la présomption d'innocence à celui de la présomption de culpabilité pour qui ne s'identifie pas. L'étape suivante est celle de l'interdiction de ces présumés coupables, c'est couru d'avance.
Quant à cette "preuve" tu parles d'une "signature qui préserve l'anonymat du visiteur", c'est un concept assez... euh... novateur, je dirais... :-}
>
Je serais bien incapable de programmer une chose pareille...
J'ai dit ça, moi ? Tu m'as mal lu... au contraire : .
Parce que sinon, une signature qui conserve l'anonymat, non seulement ça serai novateur, mais en plus ça serai vachement pratique :-D
C'est vrai que c'est dangereux aussi tout ça... C'est plus facile de spammer que de se protéger :-/
Il faudrait demander aux spams de s'identifier en tant que tel. Ça serai comme plaider coupable, ça conserverai la présomption d'innocence, etc.
-BEGIN PGP SIGNED MESSAGE-Hash: SHA1
Moi aussi je sais faire ça :p
-BEGIN PGP SIGNATURE-Version: GnuPG v1.4.7 (GNU/Linux)
iD8DBQFGwabPgXBfcl+/4XERAv6gAJ48O5jHL2+LH2XOapN+WOXKi4NHEACfQqqP
Xb3K1ilf7GBKJ0G9SSXEcfI=
=dI3w
-END PGP SIGNATURE-...sauf que le moteur Wiki t'a bouffé quatre "-" au début et à la fin de chaque ligne
BEGIN/END, alors il faut les remettre à la main si on veut vérifier ta :Ah pis tiens, du coup, tu as reflié ton nom et ton adresse mail à tous nos disciples ! (J'ai pris la précaution de les ôter du texte lisible ci-dessus ;-)