スラッシュドット ジャパン | スパマーがCAPTCHAの突破に成功?
こちらのスレッド中に参考になる手法があった。
こちらでは、被リンク数稼ぎ(?)のURL羅列spam対策に限れば、以下2つの条件で99.9%排除できてます。
・formの"mail"とかに「@」が入っていたら弾く
(今時、わざわざe-mailのspamを呼び寄せる「人」はいないよねー。
どーせ使わないので、nameはmailでそのままでサイト持ちのURL記入欄に改造してるのに)
フォームのnameにわざと「mail」としておくのだけど、そこは名前入力欄とか、他の入力用ににしておき、それなのにメールアドレスっぽいものが入力されたら拒否するというもの。
つまり、フォームの入力画面上は「名前[ ]」となってるのだけど、そのフォームの名前は「mail」となっており、人間なら名前を書くところが、botはメールアドレス書いてしまう、という罠をしかけるわけです。
ちなみに、フォーム名を普通の「mail」とか「name」とか使わないだけでも実はだいぶ弾けます。
(追記)
ちなみに、フォーム名を普通の「mail」とか「name」とか使わないだけでも実はだいぶ弾けます。
と書いたのだけど、これ時間経つにつれて効かなくなってくる。
URI免疫化の話と同じように、やつらはときどきFORMを再取得して解析して再度埋め直してくる。
だから、フォーム名を変えて効くのは一時的な効果で、永続的では無い感じ。
これだけで完全に防げるもっとも単純なのもあるようなので、全く効果がないわけではないのだが。