Door
Ozzie PHP
op 18-09-2016 17:11
gewijzigd op 18-09-2016 17:13
3.346 views
Hi guys,
Inmiddels heb ik al wat voorbereidingen getroffen om het een spambot lastig te maken.
Maar nu vraag ik me af ... als ik merk dat er iets niet in de haak is, ofwel dat er vermoedelijk een spambot aan het werk is ... wat is dan mijn volgende move?
Simpel voorbeeld. In het formulier stuur ik via een hidden field een token "ABC" mee en die token sla ik ook op in de sessie. Vervolgens wordt het formulier gepost en blijkt het token "XYZ" te zijn. Hé, dat klopt dus niet ... maar wat doen we nu?
Wat verwacht die bot? Stel ik stuur een 404 of een 503 header, weet die bot dan dat er iets is misgegaan en gaat ie het vervolgens nog een keer proberen?
Laat ik de vraag anders stellen ... wat wordt mijn actie als ik merk dat er een bot actief is. Doe ik een 'exit', stuur ik 'm naar de homepage? Of stuur ik 'm simpelweg naar de 'bedankt voor je bericht' pagina alsof er niks aan de hand is?
Gewoon reageren zoals je normaal ook zou doen lijkt me het verstandigst. Dus bij een contactformulier een normaal "bedankt voor uw bericht" of wat je daar normaal ook gebruikt. Niet wijzer maken dan strikt noodzakelijk.
Dan moet je natuurlijk wel >100% zeker zijn dat het een bot is en niet dat er iets fout is gegaan.
Het zal niet prettig zijn als ik jou een mail stuur, dan een bedankt bericht krijgt alsof ie succesvol is verstuurd, en 3 dagen heb ik nog geen reactie.
Ik zal zelf bij verdacht gedrag een Captcha weergeven zoals ik al eerder zei. Zo val je een gebruiker in 99% van de gevallen daar niet mee lastig, maar die ene procent moet dan iets meer moeite doen, maar je sluit ze niet gelijk buiten.
Dat klopt Michael. Ik zal niet in alle gevallen doorsturen naar de 'bedankt' pagina. Maar op het moment dat de token niet klopt, kun je er toch wel vanuit gaan dat iemand de boel probeert te belazeren.
Wat @Michael en @IvoP zeggen: er kan altijd iets mis gaan. Wanneer een gebruiker op die manier misleid wordt met verkeerde informatie ben je in het ergste geval een potentiële klant kwijt.
Ik zou iemand (of dit nu een bot is of niet) gewoon weer afleveren bij het vooringevulde formulier met een boodschap dat er iets is misgegaan, dat de persoon zijn/haar gegevens nogmaals moet controleren en als het probleem aanhoudt dat deze op een of andere manier contact op kan nemen (via het contactformulier lol).
Maar maak vooral duidelijk wat er fout ging en hoe dit opgelost kan worden.
De meeste bots zijn volgens mij redelijk dom en ook niet toegespitst specifiek op jouw formulier.
>> De meeste bots zijn volgens mij redelijk dom en ook niet toegespitst specifiek op jouw formulier.
Dat hoop ik dan inderdaad maar ;-)
Thanks voor de tip. Ik stuur nu alleen nog direct door naar de bedankt pagina als het formulier té snel wordt ingevuld of als er tussentijds iets is veranderd in de useragent. Dat zijn de enige 2 factoren waarvan ik geheel zeker ben dat er in dat geval een bot aan het werk moet zijn. In alle andere gevallen krijgen ze gewoon weer het contactformulier te zien.
