Après plus de 14 années de présence sur le web, je continue encore aujourd'hui cette incroyable aventure qu'est la découverte du virtuel. Lampe torche, sac à dos, planche de surf et bien sûr ce calepin indispensable pour mémoire.

#73 Sécurisation des trackbacks 31 Octobre 2005

Logiciels

Attention, il est important de considérer que cet article est une archive, son contenu est probablement obsolète!

Les trackbacks

Les trackbacks posent aujourd’hui de nombreux problèmes à leurs utilisateurs. Malheureusement, de nombreux systèmes de spam ont vu le jour ces derniers temps. Ils agissent certainement comme des engines, comme des araignées qui captent les adresses et vérifient s’il ne s’agit pas d’une adresse de trackback (de la même manière que les adresses emails). Enfin, dire que ce problème est uniquement actif sur les trackbacks est faux puisque les commentaires passent aussi au peigne fin.

La difficulté d’une mise en place d’un système de sécurité pour les trackbacks réside essentiellement dans l’automatisation de la tâche. Ainsi, la méthode qui semblerait être la plus fiable serait une liste des sites autorisés à publier des trackbacks par une vérification de l’adresse contenue dans url. Une liste noire semble être adapté, mais il faut y voir des limites : si votre site commence progressivement à être démarqué des autres et si vos visiteurs augmentent, le nombre d’utilisateurs de cette fonction risque fort d’accroître de la même manière. L’idée, qui semble alléchante, a en fait des limites.

La seconde idée est en fait l’ajout d’une étape : l’affichage d’une image contenant un texte qu’il faut retaper (de la même manière qu’une zone d’inscription, de commentaire etc.). Il faut donc ajouter au trackback une sorte de préliminaire dans lequel un ID sera attribué au futur trackbacks et une image sera affichée. L’auteur tape les informations, recopie le texte vu sur l’image puis valide le formulaire. Du côté serveur, les données seront triées, le script se chargera de vérifier la correspondance ID / clef. Si, et uniquement si, toutes les informations sont correctes, le script enregistrera la demande, dans le cas inverse, elle sera refusée.

Toutes ces idées n’ont qu’un seul et unique objectif : éviter la présence de spam. Après, il faut voir comment le système se débrouille lorsqu’il est autonome pour voir quelle solution semble être la plus adaptée.

Commentaires

À propos de l'auteur

Puce Web Developpeur chez Google (San Francisco, California), j'adore l'aventure, la découverte, les nouveautés et les challenges. Entre les développements web, les bidouilles iphone et les pauses créatives, je voyage avec mon appareil photo.