Contrer des robots stupides sans captcha

Ceux qui côtoyaientt mon ancien blog devaient rentrer un captcha pour poster un commentaire.

Le problème c'est que personnellement, ça me gonfle de me cogner une image presque illisible à lire pour un simple message. Seulement il y a toujours et encore nos amis les robots pour casser l'ambiance.

Comment bloquer ces robots sans captcha ?

Pour vous j'ai une astuce simple qui depuis 2 jours a permis de bloquer un peu plus de 300 robots (tout les robots qui ont essayé de poster d'ailleurs).

Cette technique ne fonctionne que pour les robots complétements cons et qui ne sont pas développés spécifiquement !

Étape 1 : créer une page dédiée à la gestion des robots

Vous devez (pouvez) créer une page qui va réceptionner les robots détectés et qui leur laissera un joli message de bienvenue. De mon coté, j'ai aussi décidé d'enregistrer les informations réceptionnées ($_POST, $_GET, $_COOKIE, $_SERVER).

J'ai décidé de rendre accessible cette page avec l'url "/bot"

Étape 2 : préparer les formulaires à sécuriser

Comme je l'ai écrit, c'est simple et pour ce faire, il suffit d'ajouter l'url de la page pour les robots dans l'action du formulaire.

Par exemple, voila ce que vous trouverez dans le code source de ce blog :

<form method="post" id="comment_form" action="/bot?/post/429/Contrer-des-robots-stupides-sans-captcha#comment_form" enctype="multipart/form-data">

Il vaut évidement remarquer le "/bot?" ajouté à la vraie action du formulaire.

Étape 3 : owned le bot

Comme les robots sont cons et qu'ils sont souvent démunis d'un tas d'outils, il suffit d'utiliser l'un d'eux : javascript.

Pour se faire, on va définir que si la personne bouge la souris sur la page, alors elle n'est pas un bot. Par conséquent, il suffit de supprimer "/bot?" de l'action du formulaire :

<script type="text/javascript">
$(document).ready(function() {
	$(document).mousemove(function() {
		var action = $('#comment_form').attr('action').replace(/^\/bot\?/, '');
		$('#comment_form').attr('action', action);
	});
});
</script>

Edit : Une optimisation du code a été proposée par GromNaN et je la préconise. La voici :

<script type="text/javascript">
$(document).ready(function() {
	$(document).one('mousemove', function() {
		var $form = $('#comment_form');
		var action = $form.attr('action').replace(/^\/bot\?/, '');
		$form.attr('action', action);
	});
});
</script>

Rien de plus simple et ça semble très bien fonctionner.

Seul petit bémol : ça implique que les internautes ont le javascript activé.

Cet article a été rédigé par Simon Vieille, développeur français animé par la culture du libre et du hacking.

Il intervient à Tinternet & Cie, une association d’éducation numérique populaire. Depuis septembre 2022, il est lead developer à Trinaps, un opérateur télécom local et indépendant.

Détecter les vulnérabilités dans les dépendances de son projet

Hadrien, 19/01/2012 à 19h58
C'est pas con, je kiff le concepte ! je garde ça sous le coude =)
Répondre

Jeremy, 22/01/2012 à 22h48
sympa, une solution simple à mettre en place en plus!
mais :
- es-tu sur qu'aucun bot n'éxecute le javascript maintenant? par exemple google en exécute pas mal j'ai l'impression. (même si je suis bien consciens qu'un bot de spam n'est pas du niveau de google, je m'interroge!?)
- Et ca manque un peu d'optimisation JS toute conne : par exemple, un petit boolean pour tester si on a déjà fait la modif de l'attribut, parce que toucher au DOM en JS, en plus dans un mousemove qui est déclenché un paquet de fois à la seconde, ca peu devenir lourd, donc autant le faire qu'une fois! Ou alors mieux, supprimer l'évenement là premiere fois qu'il est déclenché, avec un bind('mousemove'..) et un unbind('mousemove') dans l'écouteur pour l'enlever!

A+
Répondre

Jeremy, 22/01/2012 à 23h31
Oé en fait j'ai pas trop réfléchis, je viens de mieux comprendre ton truc, même si les bot exécutent le javascript y'a peu de chance pour qu'ils déclenchent l'événement mousemove... Bien vu! J'annule ma premiere remarque du commentaire précédent!
Répondre

Simon, 23/01/2012 à 01h59
Effectivement, le traitement de l'event peut être optimisé, je ferai une maj de l'article ^^
Répondre

Benji, 24/08/2012 à 09h48
Pour l'optim, le mieux c'est de supprimer l'évènement mousemove lorsque la détection a été faite, comme ça il ne sera plus appelé du tout.
Répondre

Jeremy, 23/01/2012 à 22h34
Encore une remarque, je suis un peu chiant ^^
niveau accessibilité, est t'on sur que tout le monde à une souris, exemple, une personne aveugle, avec un navigateur vocal, va naviguer au clavier, et donc ne passera pas ce test de mousemove, donc peut etre rajouter un event keydown (mais là encore, est ce que un bot ne va pas le déclencher?).. hurmf

Sinon, on m'avait parlé d'une solution sympa, et qui ne demande aucun effort à l'utilisateur aussi, c'est de mettre un champ "email" par exemple, en display none, le bot va voir ce champ dans le DOM et betement le remplir, alors qu'un humain ne le vera pas et donc le laissera vide. Après coté php, plus qu'a tester si le champ a été rempli ou non!
Répondre

Simon, 24/01/2012 à 09h40
Cette astuce fonctionne mais je pars du principe que je n'ai pas envie de modifier ma conception (dans le dev php) pour les bots. L'idée en Symfony est qu'on décrit des données de formulaire et leur outils de validation. Quand bien même ça serait ultra rapide d'ajouter un champ et de le contrôler comme tu le décris, si demain je veux utiliser une autre méthode, je dois me cogner du php.

Une petite note au passage (avant que je maj l'article), si on a de la génération post chargement de la page de formulaire, il peut-être intéressant de ne virer l'écouteur d'event que sur les formulaires déjà traités ^^
Répondre

frinux, 24/08/2012 à 09h31
Bonne astuce, mais effectivement je pense que c'est côté accessibilité que ça coince. Il faudrait en fait être indépendant de Javascript pour que ce soir complètement accessible.
Répondre

Benji, 24/08/2012 à 09h50
Au niveau accessibilité les captchas ne sont pas toujours très optimisés : si certains proposent des lecteurs audio, dans ce cas il faut avior javascript pour que ça fonctionne... on tourne en rond. Tout est une question de choix, par contre si qqchose existe de vraiment accessible, ça m'intéresse.
Répondre

Simon, 24/08/2012 à 11h02
Complètement accessible et transparent pour l'utilisateur aussi. Je détester devoir prouver explicitement que je ne suis pas un robot.
Répondre

Fiyery, 16/04/2014 à 19h29
Bonjour,
Pour apporter des éléments de réponse à Jeremy, j'ai testé la technique du champ caché et cela fonctionne parfaitement depuis le début de Février : Plus aucun bot-spammeur ne poste de commentaire. Par contre, avec la même méthode sur un autre site, les bots parviennent à passer. On peut donc dire que cette méthode solide (même si aucune méthode n'est parfaite).
Par contre, pour la méthode de cette article, je pense qu'il y a de bonnes possibilités.
Je remercie donc son auteur pour cette méthode (même 2 ans après).
.
Répondre

Fiyery, 16/04/2014 à 19h31
* Je disais que la méthode de champ caché n'est pas si fiable que ça.
Répondre

Seoxis, 09/10/2014 à 02h38
facilement contrable avec zennoposter :)

disons que comme presque personne ne l'utilise , tu as un peu de marge devant toi
Répondre

Je soutiens Tinternet & Cie, les Chatons et l'April - Propulsé par Murph

Simon Vieille
Textes libres sauf indication(s) contraire(s)
Mentions légales
Statut du réseau

Contrer des robots stupides sans captcha

Comment bloquer ces robots sans captcha ?

Étape 1 : créer une page dédiée à la gestion des robots

Étape 2 : préparer les formulaires à sécuriser

Étape 3 : owned le bot

Détecter les vulnérabilités dans les dépendances de son projet

Un an d'utilisation de AdGuard comme DNS

Supprimer les mots de passe d'un fichier Excel