Système de commentaires Ajax avec ou sans Captcha ?

[yanism]

Bonjour,

je me suis mis à Ajax récemment pour faire un système de commentaires sur un blog sans rafraichir la page de l'article.

J'ai juste une petite question concernant la vérification de l'"identité" du posteur du commentaire (humain ou robot) :
lors de l'affichage de l'article, les commentaires ne sont pas affichés directement, il y a un lien (href) en javascript qui rafraichit une <div> avec les commentaires de l'article et le formulaire pour saisir un nouveau commentaire.
Je me demande donc si il est utile que je mette un captcha dans le formulaire ?
Je ne connais pas le fonctionnement des "robots spammeurs" mais s'ils fonctionnent comme les moteurs de recherche, à l'affichage de la page article ils ne verront ni des commentaires ni de balises <form> pour le formulaire ?

Merci d'avance de vos réponses pour ceux qui ont déjà mis en place ce type de commentaires sur leurs blog.

 

[Robinson]

Les robots passent rarement par les formulaires, ils savent très bien quels fichiers viser. Exemple : post.php la majorité du temps.
Si c'est un script personnel, t'as peu de chance d'être spammé par un robot si tu ne mets pas des noms basiques à tes fichiers et variables.
Ensuite si t'as un site populaire, une personne pourra toujours se charger d'identifier les éléments nécessaires au spam avant de lancer le bot.
Perso, je ne me suis jamais fait spammer par un robot, seulement quelques personnes manuellement à partir de pays africains.

Donc moi je te conseillerai sans.

 

[yanism]

Merci de ta réponse. Donc à priori il n'y a pas trop de risque.
Par contre je ne savais pas qu'ils s'attaquaient directement à la page d'envoi du formulaire. Je croyais que les méthodes POST étaient un peu comme les variables de session, que seules les pages du serveur pouvaient modifier.

 

[NxtGen]

Il existe de nombreuses manières , en php notamment, de spammer un formulaire en envoyant des requêtes POST à la page qui gère sa validation, et à part le captcha, il n'y a pas vraiment de moyens de s'en protéger, à part peut-être de n'autoriser les commentaires qu'aux personnes qui disposent d'un compte sur ton site et qui ont valider leur adresse mail, ce qui peut s'avérer un peu lourd.

Mais effectivement, si ton script est perso, tu as peu de chance d'intéresser les spammeurs, donc tu peux mettre en place ton code sans captcha... Au pire rien ne t'empêche de l'installer plus tard si jamais tu rencontre des soucis

 

[yanism]

C'est juste un formulaire (Pseudo & commentaire), il n'y a pas de gestion de compte et j'aimerais que ça reste comme ça pour ne pas contraindre le visiteur à s'enregistrer.
Je ne connait pas les "nombreuses manières de spammer un formulaire" mais comme vous dites étant donné que c'est un script perso je dois avoir peu de chance d'être embêté.
Et je me dis aussi que vu que le formulaire est généré par ajax, la page d'envoi du formulaire n'est pas visible dans le code (à moins qu'il y ait un moyen dans le navigateur de voir le code généré par Ajax après le chargement d'une page ?)

 

[NxtGen]

Si quelqu'un veut trouver l'url de la page qui gère l'envoi du formulaire, il la trouvera, puisqu'elle est surement dans ta source javascript non ?

 

[yanism]

Bonne remarque en effet !
Je n'avais pas pensé à ça
Et sinon j'avais une autre idée (mais tu vas certainement encore trouver une faille ) pourquoi n'utilise-t-on pas un $_SERVER['HTTP_REFERER'] pour bloquer les POST de spammeur ?

 

[NxtGen]

Parce que dans les outils du parfait petit spammer, il est très facile de renseigner un faux referer

 

[yanism]

Bon j'ai rien dit alors ...

 

[Leonick]

Parce que dans les outils du parfait petit spammer, il est très facile de renseigner un faux referer

surtout que cette technique est aussi utilisée pour faire du spam referer histoire d'apparaitre sur la page des stats du site (quand celui-ci est enclin à afficher toutes ses stats y compris les referers)