Odpověď na názor

S komentspamem bojuju průběžně od roku 2004, tak si dovolím drobné shrnutí a pár poznámek, co jsem v praxi zjistil...

Zaprvé: metody které počítají s JavaScriptem jsou na Rootu neprůchozí, protože je tu nadkritické množství uživatelů, co si Roota čtou na svém logaritmickém pravítku z roku 1956. Ti nemají JavaScript ani obrázky a písmo jen bílé na černém. Jsou schopni nadávat, proč tu jsou ankety udělané pomocí JS, ti by něco takového považovali div ne za zásah do svého lidského práva komentovat.

Zadruhé: Návrhy typu "black list" a "ověření pomocí analýzy slov" jsou poněkud romantické. Až vám za noc přijde 20.000 komentářů, kde budou odkazy jako "http://en5v8­wjvt.com/d45nhs4­87" a "http://z54gs­vt.bfsrv54t.net/", zabalené do náhodného odstavce z jiné stránky vašeho webu, tak hned ráno pochopíte, že tohle fungovat nebude.

Zatřetí: Poměrně účinné opatření je dnes OpenID nebo i jen prostá nutnost dvojího submitu. Zítra to asi už účinné nebude.

Začtvrté: Čím dál tím větší problém jsou ruční vkladači. Takový Pákistánec nebo Ind dostane prohlížeč s pluginem, co umí průběžně měnit proxy, k tomu seznam webů a seznam textů, a jeho úkolem je jet, vkládat a opisovat CAPTCHA a klikat na "nejsem robot" a psát číslici do "enter year", protože za deset komentářů dostane cent (střílím od boku). Jistě, je to dražší než botnet, ale je to zase "stará dobrá ruční práce".

Zapáté: Kontrolní otázky "kolik je X plus Y" nebo "jaký je operační kód instrukce DAA na procesoru MC68000?" (Odpověď: MC68k nemá instrukci DAA) jsou možná dobré jako "minimal IQ test", ale pokud by o to někdo moc stál, tak si ten slovník otázek a odpovědí udělá. (Hezky má Minimal IQ test vyřešený jistý blogger, který má pod formulářem tlačítko s nápisem "Tímto se to pošle? Ne!" a pod tím do věty zakomponovaný submit odkaz.)

Zašesté: Skrytá políčka pomocí CSS jsou falešný pocit bezpečí. To že zatím na českém webu není jejich překonávání víc zjevné není tím, že by to nešlo, ale proto, že český web je pro opravdu velké spammery stále ještě nezajímavý. Až bude zajímavý, udělají si spammeři pro každý zajímavý web vzorek toho, co se stane při opravdovém odeslání komentáře, a věřte že ani prohazování políček, rafinované přebarvování a přejmenovávání není pro vycvičený algoritmus překážkou.

A zasedmé z trošku jiného soudku: Může mi někdo vysvětlit, proč tlačítko "nahlásit jako spam", co funguje v diskusích, čtou lidé jako "Tenhle komentář je mi nesympatický a někdo by ho měl smazat"? (tolik k nápadu "spam mi označí lidé", který možná na relativně uzavřeném fóru funguje, ale tady ne.)

Abych byl trošku konstruktivní: Asi nejlepším řešením pro letošek a možná i příští rok by bylo nasadit OpenID, a to i interně (tedy ono "společné přihlašování na servery IInfa" by se chovalo jako OpenID provider a servery by požadovaly autentizaci buď uživatelským jménem z IInfa nebo obecným OpenID účtem). Neautorizovaní by pak byli pruzeni mezikrokem s CAPTCHA/IQ testem.