Сьогодні ми переглядали один із сайтів наших клієнтів. Незабаром вони перейдуть до нашої інтеграції електронної пошти - що добре. Я припускаю, що їх веб-сайти, мабуть, уже внесені до чорного списку ... ось чому ...
Вони мають контактну форму на своєму веб-сайті. Це досить приємно, купа полів, щоб надіслати їм всю вашу особисту інформацію, щоб вони підписалися на їхню ініціативу електронною поштою. Однак уважніше розгляньте це, і це насправді просто інструмент, яким вони скористалися для спамерів.
<INPUT type=hidden value="будь-хто@someone.com"name =" sendto "/>
Зверніть увагу на приховані поля, куди ви можете ввести адресу електронної пошти! В якості тесту я витягнув форму, розмістив на ній свою адресу електронної пошти та посилання в інше приховане поле. Я натиснув кнопку "Відправити", і через хвилину у мене в папці "Вхідні" з'явився електронний лист зі спамом!
Це те, як спамери можуть продовжувати надсилати електронні листи, не турбуючись про блокування. Все, що їм потрібно зробити, - це знайти подібну форму твій сайт і вони можуть створити сценарій процесу, який проштовхує мільйони електронних листів протягом ночі. Хто заблокується? Не спамер ... компанія робить!
Ця конкретна форма знаходиться на веб-сайті мільярд доларовий бізнес, а не малий бізнес. І таких типів небезпечних форм є тисячі всюди в Мережі. Іронія тут полягає в тому, що вони зробили це на сторінці ASP - сторінці, яка могла б легко шукати адреси електронної пошти на сервері та додавати їх.
Якщо вам цікаво, ми, звичайно, сказали їм!
Я згоден. Адреса електронної пошти ніколи не повинна бути в поле зору / коду. Протягом останніх кількох місяців я почав завжди робити код заміни JavaScript - хоча я вагаюся просувати його, оскільки впевнений, що багато спам-ботів можуть його прочитати. Я сподіваюся, що багато з них лінуються розбирати JS і просто хапати низько звисаючі фрукти. Я здогадуюсь, що спам-боти також добре розібрали адреси, вказані в "обліковому записі в точці домену com".
Особисто я скептично ставлюсь до тих, хто не має адреси електронної пошти, зазначеної у своєму щоденнику, і лише контактну форму, але, схоже, це єдиний 100% спосіб зробити це. Мені також подобаються графічні адреси електронної пошти, які люди можуть бачити, але їх потрібно вводити. Можливо, вбудований Flash буде іншим маршрутом. Ви лише хлопець із контактної форми?
Привіт Стівен,
"Скептично ставляться до тих, хто не має адреси електронної пошти в списку" ... о! Якби моя електронна адреса була в моєму щоденнику, навіть з використанням обфускатора JavaScript, я отримував би десятки тисяч спаму на день.
Не будьте скептичними - ми намагаємось лише захистити себе. Мета контакту для ІС, щоб люди все ще могли зв’язатися з нами, не залишаючи нас відкритими для спам-ботів.
Doug
@Stephen Ви маєте рацію, що багато програмістів, які пишуть спам-ботів, ледачі. Я маю на увазі, ви можете просто проаналізувати результати http://tinyurl.com/yuje9z і отримуйте сотні тисяч адрес у спам.
Але адреси електронної пошти, приховані в JavaScript, зображеннях та Flash, також не є безпечними. Подивитися http://www.cryptologie.com/SpamFull.pdf на дослідження кілька років тому. "Деякі з них вирішують питання захисту ASCII і навіть базовий javascript або флеш-код".
Найкращим захистом все-таки є припинення публікації електронних адрес та використання a веб-форма замість цього.
Я розумію, що ви обоє говорите. Для мене контактна форма схожа на номер 1-800 замість номера мобільного на візитній картці. Це здається занадто корпоративним / підтримкою.
Я ще не бачив, щоб спам з’являвся на електронну пошту моєї дружини, на якій я виконую забруднення JavaScript http://www.rachelsteely.com, але сайти зросли лише місяць. Я ніколи не сказав би другові викласти свою електронну адресу в дикій природі, якби вони не знали, що роблять. Я б, мабуть, теж давно відмовився, якби у мене не було Google як мого антиспам-програмного забезпечення.
Я вважаю, що PDF-файли - це звичайний текст (принаймні Google може їх розібрати), і ваша електронна пошта знаходиться у вашому резюме, Даг.
Здравствуйте,
Мені здалося, що ваше повідомлення в блозі було дуже цікавим, але я не розумію, як саме це працює.
Якщо ви заповнили цю форму, як спам-боти отримують вашу електронну адресу?
Якщо на сайті постійно приховані поля з вашою електронною адресою, очевидно, як спам-боти їх отримують.
Але коли ви заповнюєте його, не натискаєте просто подати, а потім приховані поля зникають, чи не так? Чи має на цій сторінці спам-бот програму, яка фіксує те, що ви вводите, або те, що розміщує сайт у прихованих полях, коли ви ним користуєтеся?
Я не розумію. Чи можете ви пояснити це докладніше?
А що можна зробити? Як реалізувати форму, через яку спам-боти теж не можуть цього робити? Це просто питання невикористання прихованих полів для адрес електронної пошти чи це більше того?
Дякую
Привіт Роджер,
Як відвідувач, вам нічого не загрожує. Питання стосується людей, які виставили цю форму. Спамер може "розігнати" форму і надсилати спам, використовуючи її. Це жахлива практика, яку компанія розмістила на своєму веб-сайті.
Doug
Ще одне запитання ... .Якщо я обов'язково повинен розмістити свою електронну адресу на сторінці, то який найкращий спосіб це зробити? Чи безпечно використовувати шістнадцяткові коди символів?
Дякую
Спамери мають дуже складні механізми сканування, які можуть збирати адреси електронної пошти різними способами. Я, чесно кажучи, втомився би коли-небудь розміщувати свою адресу електронної пошти на веб-сторінці і замість цього розгорнув бланк контактів.