Perché un codice?

Combattere lo SPAM con tecniche CAPCHA

AntiSPAM con CAPCHA La realizzazione di un feedback form, un guestbook, un sistema di commenti,... per un sito web, permette agli utenti di interagire con il sito, comunicando e lasciando la loro "impronta", sentendosi in questo modo più coinvolti.

Con queste funzionalità, un problema che si presenta è però legato allo SPAM, fenomeno odierno tanto fastidioso quanto antipatico che altro non fa che intasare quotidianamente la nostra casella di posta elettronica con messaggi "spazzatura".

Infatti, troppo spesso e anche insistentemente, qualche "buontempone" si diverte ad "abusare" delle funzionalità offerte dalle pagine e dai siti web inviando massicciamente pubblicità a prodotti o servizi di siti web di ogni genere.

Spesso questi messaggi non vengono inseriti da utenti veri e propri ma da sistemi automatizzati che si collegano con il nostro server riempiendolo di SPAM. Cancellare questi messaggi serve spesso a poco, poiché regolarmente si ripresentano.

Come difendersi da questo tipo di "attacchi"?

Alan Turing, uno dei padri fondatori della "Computer Scienze", nell'ormai lontano 1950 affrontò il problema della creazione di test che potessero essere superati facilmente da un uomo ma non da una macchina. Proprio da questi studi prende il nome la tecnica CAPCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) comunemente usata nei siti web per verificare se l'interlocutore del sito web sia realmente un individuo oppure solo un semplice Software.

Una classica implementazione delle tecniche CAPCHA si basa sulla realizzazione di immagini contenenti caratteri che l'utente deve leggere e riportare correttamente in una specifica casella di testo. L'operazione non può affatto essere effettuata da un Software di OCR (riconoscimento caratteri) poiché i caratteri mostrati sono deformati o contengono qualche altra forma di disturbo.

Quali considerazioni e come conclusione, nella realizzazione dello script che genera tale sistema di protezione per il formulario di contatto di queste pagine, vengono adottate tecniche ed accorgimenti specifici per aumentare il livello di sicurezza del sistema CAPCHA:

- Per l'identificativo associato al codice CAPCHA si fa uso di una stringa casuale impossibile da intuire o prevedere. Se un utente legge tale stringa non può risalire agli altri identificativi presenti nel database.

- L'identificativo è protetto da un codice di controllo che solo lo script del form in PHP può generare correttamente. Questo codice permette allo script CAPCHA di verificare se è stato richiamato realmente dal form in PHP. Un utente non può quindi ricaricare più volte la pagina sperando che la tabella del database si riempia di record.

- CAPCHA provvede anche a ripulire la tabella dai vecchi record attraverso un sistema che interviene con una determinata probabilità.

- L'immagine non viene affatto salvata in un file ma inviata "al volo" al browser, quindi la ripetuta esecuzione dello script CAPCHA non rischia di intasare il server di immagini. Inoltre non è nemmeno necessario prevedere un sistema per la cancellazione delle vecchie immagini.

- Indipendentemente dall'esito del controllo del codice inserito, il record presente nel DB - la banca dati o database - viene cancellato sventando così qualsiasi tentativo di attacco "forzato".

Il sistema CAPCHA presentato in queste pagine e implementato in questo sito web a livello del formulario di contatto, può essere certamente migliorato, utilizzando anche tecniche più raffinate per la creazione dell'immagine distorta, benché sia stato inserito in modo tale da adattarsi alla grafica della pagina web. Si dimostra e si rileva in ogni caso veramente efficace nel bloccare lo SPAM che quotidianamente e indubbiamente si verifica con continui "attacchi", praticamente a costo zero, visto e considerato che non richiede nessuna manutenzione e non necessità nemmeno di particolari risorse.

Ritornare alla pagina precedente