2007年2月13日
Movable Type 3.3 でコメントスパム対策 (Forcing Comment Previews・MTHash)
SEの進地です。こんにちは。
このアークウェブビジネスブログでは現在以下の二つのコメントスパム対策を施しています。
1.MT-Akismetプラグインの利用
2.Forcing Comment Previewsを3.3用に作成
今回はこのスパム対策(特に後者について)説明します。
前者のMT-AkismetはAkismetによるPukiWikiへのspam(スパム)防止機能で紹介されているAkismet API(http://akismet.com/)をMTから利用できるようにするプラグインです。インストールするだけで自動的にコメントのスパム判定を行って、スパム判定したものは迷惑コメントに振り分けてくれます。
しかしMT-Akismetは、MTのDBへの登録は受け付けてしまいます。今朝方調べてみると、弊社のこのビジネスブログには累計で2万件以上のコメントスパムがポストされていて、かつ、日に10件以上はDBへの登録を受け付けていることがわかりました。これは負荷の観点からも見逃せません。
そこで、コメントスパムのDBへの登録自体を行わないようにするため、後者の対策を行いました。
後者のコメントスパム対策は元はMusingsの"Forcing Comment Previews"という記事で紹介された方法で、ロボットがプレビュー画面を経由せずに直接コメント受付プログラム(mt-comment.cgi)にアクセスしてくることを利用して、プレビュー画面経由でなければコメントを受け付けないようにする方法です。
具体的には
・コメント投稿フォームから「投稿」ボタンを消す
・プレビュー画面から投稿を行ったことの判定として、プレビュー画面にhashを仕込む
・コメント受付プログラム(mt-comment.cgi)の方ではhashが正しい値でなければ投稿を受け付けないようにする
というカスタマイズを施します。
この対策方法は「Going My Way:プレビューボタンのみ表示してhashを仕込むというコメントスパム対策」など、わりと知られた対策のようなのですが、MT3.3に対応させる情報がなかったので、自分で実装してみました。
編集するのはたった二つのファイル(lib/MT/Template/ContextHandlers.pm、lib/MT/App/Comments.pm)です。差分は下記でダウンロードできます。
・lib/MT/Template/ContextHandlers.pmの差分
・lib/MT/App/Comments.pmの差分
この2つの差分を適用したら、pluginsディレクトリにsalt.txtという名前のファイルを作成して、中に半角英数で任意の文字列を書いておきます。
最後に、アーカイブテンプレート内のコメントフォームの箇所から投稿ボタンを削除、またはコメントアウトして完了です。各エントリーのコメントフォームに「投稿」ボタンが表示されず、プレビューから「投稿」ボタンを押すとコメントが投稿されることを確認します(※1)。
lib/MT/Template/ContextHandlers.pm、lib/MT/App/Comments.pmで行ったカスタマイズを簡単に説明しておきます。
lib/MT/Template/ContextHandlers.pmでは、コメントプレビュー時にhiddenタグの名前validatedにハッシュを仕込むロジックを追加しています。ハッシュはコメント文、エントリーID、投稿者のIP、投稿者名、投稿者メールアドレス、投稿者URLをつなげたものを、salt.txtに記述した種を使ってSHA1形式でハッシュ化したものです(※2)。
lib/MT/App/Comments.pmも同様で、こちらはコメント受付処理直前にフォームから送られてきたデータからlib/MT/Template/ContextHandlers.pmと同様のルールでハッシュを作成し、送られてきたハッシュと等しければDBに受け付ける、等しくなければエラーを出して終了というロジックを追加しています。
Forcing Comment Previewsに記述されているように、コメントプレビュー用テンプレートを修正していないのは、3.3ではコメントプレビューのformタグは<MTCommentFields preview="1" static="1">という一つのMTタグで表現され、完結してしまっているために、テンプレートの修正ではこのform内にhiddenタグを追加する方法を思いつかなかったからです(※3)。そのため、MTCommentFieldsを解析してタグを出力しているlib/MT/Template/ContextHandlers.pmの_hdlr_comment_fieldsメソッドを直接カスタマイズしています。
※1
仮にコメントフォームの箇所に投稿ボタンが表示されたままでも、この段階ではフォームにハッシュが仕込まれていないので投稿は受け付けられません。
※2
従って、この対策を施すにはシステムにPerlのDigest::SHA1がインストールされている必要があります。
※3
もっとよい方法をご存じの方、是非コメントくださいm(__)m JavaScriptオンを強制でよければ、onloadでhiddenに追加とか思いついたんですが。
カテゴリー: CMS・MovableType
タグ:
« 前の記事:価格.com WEBサービスコンテスト:WebサービスAPIを使ったマッシュアップサービスの最新事例を見てみる
» 次の記事:地球温暖化:社内に共用エコバッグを置いてレジ袋の消費を減らしてみる
アークウェブの本
Zen Cartによるオンラインショップ構築・運用テクニック―オープンソース徹底活用
内容充実のZen Cart公式本(v1.3対応)がついに発表です。アークウェブのスタッフをはじめZen-Cart.JPの中心メンバーが共著で執筆しました。続きを読む
新着はてブ
カテゴリー
- Shopify(ショピファイ)オンラインショップ構築
- NGO・NPO向け情報
- スマートフォン
- だれもが使えるウェブコンクール
- mixiアプリ
- OpenSocial (システム開発)
- アークウェブのCSR
- A-Form, A-Member, A-Reserve(MTプラグイン)
- Ruby on Rails(システム開発)
- necoったー
- Miqqle
- WebSig24/7
- ecoったー
- ビッグイシュー(The Big Issue)
- CSR(企業の社会的責任)
- マッシュアップ
- RIA (システム開発)
- セキュリティ(システム開発)
- 唐松(アクセス解析)
- Ajax (システム開発)
- テスト(システム開発)
- データベース
- PukiWiki
- Web 2.0
- SEO・サーチエンジン最適化
- XP・アジャイル(システム開発)
- Web・ITニュースクリップ
- Webアクセシビリティ
- Webデザイン
- SEM・サーチエンジン広告
- Webユーザビリティ
- CMS・MovableType
- Zen Cart(オンラインショップ構築)
- Snippy(SNS・ソーシャルブックマーク)
- アークウェブ
- オープンソース
- CMS(コンテンツマネジメント・システム)
- Webマーケティング
- AMP
- SNS
アーカイブ
応援しています
(終了しました)
