コメントスパムへの本格的対策

今さらながらMovableTypeをv3.34に更新した。
一部のスクリプトが修正されただけなので、差分ファイルのみのアップロードで。
で、前回トラックバックスパムへの対策を施したお陰で、そっちはかなり減った（また最近チラホラ増えてきたかも？）反面、コメントスパムの方がどうも凄い増えている。
コメントの方はスクリプトのファイル名を変更する程度しかやってなかったが、やはりそれでは不足のようだ。
まぁスパムは全てフィルタリングで「迷惑コメントリスト」入りしてはいるものの、これだけあると自動削除処理が重くなるし、誤ってフィルタリングされてるのが無いか確認する気にもならないので、ちょっと問題である。
ということで、スパムはそもそも登録されないような一工夫が必要と判断し、私の「Child Tree BBS RSS対応版」でも行っているちょっとしたおまじないを追加してみることにした。
今回はテンプレートだけでなくスクリプトの方にも若干手を入れる必要がありましたが、これでスパムが減るようなら安いもんです。
しばらく様子見・・・

のはずが、対策を施したファイルをアップしたスグ後でもスパムが届いてしまった・・・orz
上でいじったスクリプトというのは、元の名前で言う所の”mt-comments.cgi”なんだけど、推測するに最近のスパマーはこれを呼ばずに、直接MTのAPIを使って呼び出しているのかも。
だとすると、いくらファイル名を変えても、そのスクリプトに仕込んでもダメですね。
さてじゃぁどうしよう、と改めてWebを検索してみて以下のような手段を見つけました。

Movable Type 3.3 でコメントスパム対策 (Forcing Comment Previews・MTHash) [ARK-Web BLog]

最初に考えたのと基本は同じなんだけど、「プレビュー画面から投稿させる」というのと「ハッシュ値を使う」という所がミソです。
特にハッシュ値を使うことによって、仕組みがバレた場合でもその値を割り出すのはかなり難しいため、より確実です。
ちなみにロリポはSHA-1のlibが標準で使えるようです。
うーん、これはChild Tree BBSの方でも使える、採用しようかしら。(^^;)
ということで、これでしばらく様子見です。
とりあえず丸１日程度経過現在では、まだスパムは１件もありませんでした。
ということで、さらに様子見です。
（追記）
上記リンク先のサンプルコードではハッシュ元の文字列にホストのIPアドレスも含めているが、ISP等環境によってはプレビュー時と投稿時にIPが変わってしまう状況もある（仕事場からのテストで引っ掛かった）ので、IPアドレスは対象外にした。