Spam

Oké mensen. Tijd voor het moment van de waarheid. De laatste maand heb ik tussendoor, voornamelijk op de trein, geprogrammeerd aan een plugin voor WordPress. Niet zomaar een plugin, maar eentje die het de diensten van Mollom, de startup van Dries Buytaert en Benjamin Schrauwen, ook voor WordPress gebruikers toegankelijk maakt.

Ik huldig eigenlijk het principe eat your own dogfood. En om eens te kijken hoe sterk mijn plugin reeds staat, zet ik die bij wijze van allereerste publieke test in op mijn eigenste blogje. Akismet en Spam Karma heb ik voor de gelegenheid gewoon uitgeschakeld. Vanaf nu worden jullie comments door de spamfilters van Mollom gehaald.

Hoe werkt het? Bij een normale comment zal je niets merken van het werk dat Mollom achter de scherm uitvoert. Stel dat je een spambot bent, dan wordt je bijdrage gewoon geweigerd nog voor er wordpress een query op de database uitvoert. Moest er nu twijfel bestaan over de legitimiteit, dan wordt je comment in moderatie gehouden en krijg je een eenvoudig testje voorgeschoteld om te bevestigen dat je wel degelijk een persoon bent met de allerbeste bedoelingen.

Bij wijze van proef mogen jullie je even in de commentaren van deze post laten gaan. Het gaat om een proef om de basisfunctionaliteit van de plugin te verbeteren. Verder gaat het er mij nu om een aantal secundaire doeleinden op korte termijn te implementeren. Bij problemen of opmerkingen kan je mij altijd op mijn mailadres, matthias apestaartje netsensei puntje nl, contacteren.

‘Do your worst‘ zou ik zeggen!

O ja, ik ben Benjamin en Dries alvast heel erg dankbaar voor de steun en de feedback van de afgelopen weken!

English readers:

Yes, I’ve been working on a plugin that brings Mollom to WordPress. I’ve enabled my plugin on this blog to protect it from spam through Mollom. This is a preliminary test for the basic, barebones functionality of the plugin: filtering out spam. Unless you’re a spambot, you should have no trouble posting comments. Keep an eye out for the CAPTCHA test, though. If you run into problems or you have suggestions, don’t hestitate to contact me: matthias apetail netsensei dot nl. A big thank you to Dries and Benjamin for their support in these past weeks.

Wie wil er nu honderd paswoorden en accounts bijhouden? Niemand toch? Of je gebruikt telkens hetzelfde paswoord. Knappe koppen denken natuurlijk wat verder en kwamen met een oplossing: OpenID. Ideaal, zo leek het. Eén paswoord/login combo onthouden en de rest gebeurt automagisch op elke site die OpenID ondersteunt.

Maar is OpenID wel zo fantastisch? De voornaamste kritiek op OpenID valt samen te vatten als deze: “On the Internet, nobody knows you’re a dog.” Of beter, het decentrale karakter van OpenID betekent verzwakte de sterkte de identiteit die je claimt. Meer hierover vind je hier.

Los van die discussies, heb ik zelf uit harde ervaring geleerd dat OpenID niet het nirvana betekent. Mijn kritiek is eerder technisch van aard en beperkt zich tot het protocol zelf. De laatste maanden heb ik mij gebezigd met een OpenID plugin voor WordPress. Dat betekende dus een OpenID consumer implementeren en die koppelen met één van de API haken van WordPress. Om precies te zijn: in het wp-comments-post.php script. De OpenID specificatie leert ons dat alle oproepen tussen een consumer en een identity provider via HTTP GET requests moeten worden afgehandeld. Helaas hebben de makers van WordPress het bewuste script zo gepatched dat HTTP GET requests worden afgeblokt. Helaas betekent het ook meteen het afblokken van OpenID in comments op een propere manier. Ik kan via allerlei truken de nieuwe beveiliging omzeilen. Maar echt ideaal is dat niet.

Hadden de makers van WordPress die patch moeten doorvoeren? Vanuit het standpunt van beveiliging en anti-spam: zeker. Een script dat HTTP GET requests aanvaardt kan vrij gemakkelijk worden misbruikt. Zeker als het gaat om het dumpen van spam is er geen kunst aan om code te schrijven dat massaal HTTP GET requests afstuurt op onbeveiligde webscripts. Neen. Het probleem ligt in de OpenID specificatie. Die legt juist het gebruik van HTTP GET requests op en laat geen ruimte voor mogelijke alternatieven. In mijn ogen dwingt OpenID dus hier een mogelijk veiligheidsrisico af. Nochtans zijn er andere, betere alternatieven om data over HTTP door te sturen zonder gebruik te maken van de onveilige HTTP GET requests. Ik denk dan aan RPC protocollen zoals XML-RPC (er zit een XML-RPC module in WordPress!) en SOAP.

Persoonlijk sluit ik daarom dus liever mijn OpenID experiment voorlopig af en kijk ik de kat wat uit de boom vooraleer ik er verder mee ga.

Help! Het is al erg gesteld als een mens door zijn eigen WordPress installatie wordt herkend als een spambot. Ik maak het mee en het is niét fun. Ik kan bepaalde termen in mijn posts niet gebruiken of ik krijg onderstaande melding. Tegenwoordig kan ik zelfs de ‘options’ van mijn WordPress installatie niet veranderen of ik krijg dit te zien. Very annoying to say the least. Ik heb al allerlei plugins (bad behaviour, spam karma, akismet) uitgezet maar zonder resultaat. Ik vermoed dat het iets is op server niveau. Ik gooi het nog even hier mochten er mensen zijn die zich hierin herkennen…

Wie weet welk onding dit produceert trakteer ik op een frisse pint!

Ligt het aan mij of het tegenwoordig écht niet meer te houden van de mailspam? Viagraleurders en beursspeculanten laten het niet na mijn persoonlijke mail als die op het werk meer en meer te vervuilen. Het straffe is dat die laatste al over een zeer sterke filter beschikt. ’t Is pas sinds de laatste maand of twee, drie dat ik de dag begin met het aantreffen van een vijftal spamberichten. Niet de grote massa, maar wel tekenend genoeg om er eens een boompje over op te zetten!

Eigenlijk wordt spam geautomatiseerd aangemaakt. Louche commercanten betrouwen daarvoor op virusschrijvers. Het ongedierte dat zij schrijven maakt van een onbeschermde pc een spamrobot die – zonder dat de eigenaar het merkt – massaal berichten verstuurt duizende mailadressen.

Zulke robots werken tegenwoordig in steeds intelligenter wordende netwerken die botnets noemen. Het gaat om duizenden pc’s waarvan de rekenkracht ongemerkt door de spammer kan worden misbruikt om spam te sturen maar ook om massaal websites aan te vallen. Of om commentspam overal na te laten.

Vandaag nog las ik dat de intelligentie van het ongedierte en de botnets zelfs duurzaam zouden worden. Dus we zijn er nog niet meteen van af. En dergelijke vuiligheid zullen we er waarschijnlijk moeten bijnemen nu de ganse wereld ‘plugged in’ wordt. Wat ik wel wil duidelijk maken is dat dit geen ver-van-mijn-bed probleem is. Spam bestaat bij de gratie van de zovele onbeschermde pc’s die op het internet aangesloten zijn en waar spammers gretig gebruik van maken. Een antivirusprogramma installeren is dus iets wat ze zelfs zouden moeten verplichten als het van mij afhing. Ondertussen probeert ook Microsoft (naast andere besturingsysteembouwers) er iets aan te doen: Vista belooft het een stuk moeilijker te maken om een pc te kapen. Ik ben benieuwd…

Spammers worden tegenwoordig écht wel wanhopig. Ik kreeg vanmiddag deze in mijn mailbox.

Dear friend, I found your picture on one of the websites, caan we talk to each other? I might be coming to your place in few weeks. This would be a great opportunity to meet each other. Btw, I am a woman. I am 25. Drop me a line at [emailadres]

Juuuuiiist. Bah. [tag]Spam[/tag].

Bon. Ik heb het wat laten verwateren, maar ik denk dat ik toch maar weer eens wat werk ga maken van WP Referer. Spam blijft een probleem tenzij ik die manueel blacklist. En dat is uiteraard geen doening. Misschien toch koppelen aan de Bad Behavior plugin? Of zijn er nog suggesties?

Hoerah! Mijn referer plugin voor WordPress heeft nu ook een ingebouwde spampolitie! Ik had het immers al een tijdje in de mot: vuige personen die via refererlijstjes zoals die van mij zich van een linkje op desbetreffende site proberen te verzekeren. Daarom heb ik gelijk maar een anti-spammodule geschreven. Verwacht er niet té veel van: het is gewoon een blacklist op basis van de hostnaam. En je moet die dan nog handmatig via het admin paneel toevoegen! Er zit zelfs geeneens een filter op die dat automatisch voor u doet.

Soit, ik moet nog links en rechts een aantal zaken eraan stroomlijnen. Op het eerste zicht lijkt het ook wel te zullen werken met WordPress 2.0. En verder ga ik voor een volgende versie eens kijken of ik mij zelfs zou kunnen bedienen van anderen zoals Akismet of zo!

Man, ik ben goed. Maar nu ga ik gaan slapen.