シリコンバレー ２４時

« 2005年12月21日

メイン

2005年12月23日 »

2005年12月22日

MovableType のスパム対策(2) 「コメントスパム対策(1)」

MovableType の コメントスパム対策については 既にいくつかの方法がネット上で紹介されているが、 今回はまず、「女子十二月号」 さんの MovableTypeコメントスパム対策 を参考にさせていただくこととする。

このサイトで紹介されている方法は、英語サイトではあるが Comment Spam Quick Fix というページを参考にして、 さらにそれを独自に強化された方法を紹介されている。

文中、このコメントスパム対策のしくみについても説明されているので、 その部分を引用させていただくと、

通常あるエントリーを読んだ人がコメントをつけるときは 必ずコメント欄を使用して書き込むのですが、 Spammerはmt-comments.cgiを直接アクセスして書き込みます。 そこでコメント欄にhidden属性の変数を追加して値をmt-comments.cgiに渡し、 mt-comments.cgiはその変数が存在するかチェックするようにしておきます。 すると、MovableTypeの素のmt-comments.cgiを前提にしているSpammerは その変数に値を入れることができないため書き込むことができないということのようです。

と、ある。 これを私なりに別の表現でご説明させていただくと

MovableTypeでは通常、 エントリーの個別ページに それぞれコメント記入欄があるが、 これらのエントリーの どのページからコメントを投稿(POST) しても、 この mt-comments.cgi という一つのCGIが呼び出されることになり、 投稿された全てのコメントを受け取る処理を行うことになっている。

一方、スパムを送りつけてくる人 いわゆるスパマーは ブログの各ページを開いて、そこにコメントを書いて投稿する、 というような めんどくさい ことはしない。

スパマーは、上記のmt-comments.cgi というCGIに向かって直接 スパム・コメントを投稿してくる。 MovableTypeで（mt-comments.cgiで）受け取る コメントに関する情報のフォーマットは既に決まっているため、 それに合わせた、専用のプログラムを書いて 投稿作業を全自動化しているわけだ。

そこで、コメントスパム防止策として mt-comments.cgi を改造し、 ある追加情報（変数）が一緒に投稿されなければ、コメントを受け取らなくする。 これによって、スパマーのスパム自動送信プログラムからの投稿を受け付けなくできる。

ところがこのままでは、正規のコメントも受け付けられなくなってしまうので、 ブログの個別ページからの正規コメントの投稿の際には、 その追加情報（変数）も一緒に送られるようにする必要がある。 この追加情報が引用文中の「hidden属性の変数」である。

さて、コメントスパム防止策のしくみが判ったところで、 実際の変更作業については次回からのエントリーで。

カテゴリー: ＭＴスパム     22:32 | コメント (0) | トラックバック (0)

« 2005年12月21日

メイン

2005年12月23日 »