URLs de trackbacks jetables contre le spam : vraie fausse bonne idée ?

Le spam est un fléau. Ce n'est pas nouveau.

Après avoir envahi nos boîtes aux lettres, voilà qu'il a débarqué dans les commentaires de nos blogs. Bizarrement, ses premières traces passaient par les formulaires de commentaires, mais le tir a désormais été corrigé : c'est tellement plus rapide par les trackbacks !

Comme pour les clients et serveurs de mail, les solutions de blogs se sont lancées à leur tour dans la course à l'armement en multipliant les mesures antispam. Comme pour le spam par email, la parade est rarement évidente, mais toujours éphémère. C'est dans cette logique que, ces derniers temps, on a vu apparaitre une solution contre le spam via trackback : les URLs de trackbacks jetables.

Sur le papier l'idée semble bonne : un paramètre optionnel est ajouté à une URL de trackback standard et sa valeur admise est générée pour une durée de vie donnée. Passé ce délai, l'URL n'est plus valide ^[1]. Ca sonne plutôt bien, non ? En fait, non, pas tant que ça...

Bien souvent, ce type de solutions est élaboré sans prendre en compte un aspect essentiel de la spécification technique des trackbacks : la découverte automatique des URLs de trackbacks par les applications émettrices. Si bien que toutes ces solutions, au moins dans un premier temps, amputent le support des trackbacks, rendant nécessaire pour quiconque voudrait faire un trackback sur l'un de vos billets :

de repasser sur votre site,
de rafraichir la page,
de copier l'adresse de trackback du moment,
de retourner dans son interface d'édition et copier la dite adresse,
de rapidement déclencher le trackback^[2]

Dès lors que ces remarques ont été émises, le réflexe, logique et normal, est de rendre la découverte automatique de nouveau possible en extrapolant sur le comportement des spambots. Laurent Simon, l'auteur de Spamtimeout pour DotClear, illustre bien le propos :

Edit: Il semble que la fonction de découverte automatique des URLs de trackback soit fortement appréciée (quand elle fonctionne...). Je viens donc d'ajouter son support dans la version 0.6 et vous invite à la tester. Ca expose un peu plus mais au vu de la façon dont fonctionnent les spammeurs, ça devrait continuer à arrêter l'essentiel des flux (je croise les doigts).

Seulement, voilà, il se trompe : le simple fait de remettre la découverte automatique en action rend la contre-mesure caduque. Si ce n'est pas dans l'immédiat, c'est tout de même sous très peu de temps. Il suffit de regarder le code de découverte automatique dans DotClear, par exemple, pour ce rendre compte de la simplicité et de la concision de la chose. Imaginez ensuite ce que peut donner ce code, sans enrobage, en Perl avec LWP et les lots de librairies existantes ^[3]. Beau tableau, non ? ...

Peut-on réellement imaginer qu'un spammeur ne prendra pas les 5 minutes nécessaires à coder l'adaptation de son bot, adaptation qui permettra à ce dernier de repartir de plus belle polluer des centaines ou milliers de blogs ?

On arrive alors à une triste conclusion : soit on fait voler en éclats la découverte automatique (avec le risque de décourager les autres auteurs de faire un trackback chez soi), soit on pisse (à plus ou moins long terme) dans un violon tout en ayant du code supplémentaire potentiellement inutile.

Notes

[1] Pour plus de détails sur cette mise en oeuvre dans DotClear, vous pouvez consulter le billet de présentation du plugin Spamtimeout, fournissant ce type de contre-mesure.

[2] Ne rigolez pas, il est possible de se rendre compte qu'on n'a plus de café ou de cigarettes et de partir faire le plein en laissant le ping en plan ... ;-)

[3] Toujours à titre d'exemple, hein, parce que c'est peut-être encore plus rapide à faire en Python...

Commentaires

1. Par Jérôme, le 03/06/2006 à 01:10

Et pourquoi pas des CAPCHA pour les trackback, après tout les pings sont fait par des machines, alors c'est pas grave si les images sont pas accessibles...

2. Par Pep, le 03/06/2006 à 01:13

Gné ?! Cet homme est fou ! ... :-)

3. Par xave, le 03/06/2006 à 22:55

il est possible de se rendre compte qu'on n'a plus de café ou de cigarettes et de partir faire le plein en laissant le ping en plan ...

Tout le monde n'est pas suisse, hein, non plus ?

4. Par Laurent Simon, le 04/06/2006 à 13:12

Je crois que tu enfonce des portes ouvertes là. Tout ça, je le dis moi-même: avec ça, les spammeurs n’ont plus qu’à scanner chaque billet à chaque fois pour retrouver une URL valide.

Comme tu le dis, avec la découverte automatique des trackbacks, le scan pour retrouver une URL de ping valide est facilité par le fait qu’il repose sur un format RDF normalisé pour lequel il existe déjà des utilitaires tous faits. Ca expose donc un peu plus. Mais entre nous, même sans la découverte automatique scanner une page et chercher une expression régulière du style http://.*\.tp.php\?[^ ]* pour récupérer l’URL, ça n’a rien de sorcier non plus? (et ça s’écrit aussi en 5 minutes).

La seule vraie question est donc: Sont-ils prêt à en payer le prix ? Non pas en termes de programmation, mais en termes de CPU et de trafic réseau. Bien sûr, la plupart du temps ils utilisent des PC zombies et ça ne leur coûte rien. Mais par contre, c’est nettement moins discret et le troyen qui mitraille ainsi en permanence devient beaucoup plus repérable par celui qui l’héberge.

La seule solution pour le savoir est donc de le tester. D’où la publication de ce plugin expérimental.

Apparemment, au bout d’un mois, seul un spammeur spécialisé dans les casinos en ligne, s’est adapté à la nouvelle situation. Mais dès la semaine prochaine, je pense que je vais lui réserver la réponse du berger à la bergère…

5. Par Pep, le 04/06/2006 à 16:00

La consommation en CPU et en ressources réseau reste malheureusement très faible, même pour l'extraction de liens (j'ai codé pas mal de mini-crawlers il y a quelques années). Et d'un autre côté, le fait d'avoir du XHTML strict facilite également le travail.

Je ne cherche à dénigrer ni ton idée, ni ton plugin. J'en parle comme j'aurais pu parler de son/ses équivalents sous WordPress (il y a d'ailleurs dans le lot des horreurs ayant recours au JS pour le système de trackbacks...) et je sous-entends surtout que généraliser cette méthode en diffusant un plugin ne servira à rien : autant elle peut être efficace pour un blog isolé, autant elle deviendra vite inutile dès sa large adoption.

Pour ce qui est des portes ouvertes, je pense que rappeler certaines évidences ne fait pas de mal (d'ailleurs, Jakob Nielsen en a bien fait son métier ...) :-)

Regarde, je vais même en enfoncer une autre en direct : certaines personnes qui arrivent à développer une solution simple pour leur blog ne devraient pas la diffuser pour qu'elle reste efficace...

6. Par David Latapie, le 07/06/2006 à 01:49

Et l’IPcheck sur les rétroliens, mmh ? Ça marche plutôt bien pour le moment, mais est-ce contournable plus ou moins rapidement ?

7. Par Pep, le 07/06/2006 à 18:01

David > L'IPcheck me semble plus viable, même sur le long terme. Evidemment, il y a toujours le risque d'avoir une partie des entêtes HTTP directement injectées par les spammeurs.

En contre-partie, il y a encore quelques risques de faux positifs (mais comme c'est le cas de la plupart des solutions antispam de toute façon...).

8. Par Jérôme, le 10/06/2006 à 21:22

Je revient du forum, ou j'ai bien rigolé. Y'en a un qui veut des CAPCHA pour ces trackback : http://www.dotclear.net/forum/viewtopic.php?id=18803#p98589

Comme quoi, c'est peut-être pas une si mauvaise idée...

9. Par Eskimobleu, le 03/12/2006 à 15:49

automatique, il n'y a plus de trackback... Si ? Ou alors j'ai vraiment rien compris :(

(désolé pour le double post, j'ai de trop gros doigts et la touche entrée du macbook n'est est parfois difficilement évitable)

10. Par Eskimobleu, le 03/12/2006 à 15:50

Dites, c'est quoi la découverte automatique des trackbacks ? C'est quand je lis un billet sur un blog, qu'il me donne envie de réagir, que j'écris un billet sur mon blog en y précisant l'url du trackback du billet du blog premier, et que sur ce blog que j'ai visité s'affiche mon trackback ? C'est ça la découverte automatique ? Mais sans découverte automatique, il n'y a plus de trackback... Si ? Ou alors j'ai vraiment rien compris :(
(désolé pour le double post, j'ai fais une fausse manip)