コメント投稿設定

ＲＢＬ問い合わせ結果：203.162.2.135
ＲＢＬ	結果	処理時間（秒）
list.dsbl.org	登録なし	0.452
bl.spamcop.net	登録なし	0.189
sbl-xbl.spamhaus.org	登録なし	0.162
all.rbl.jp	登録あり(127.0.0.4)	0.026
bsb.empty.us	登録なし	0.148
bsb.spamlookup.net	登録なし	0.147
niku.2ch.net	登録あり(127.0.0.2)	0.001

名前最大文字数				(0で無制限)
メール最大文字数				(0で無制限)
URL最大文字数				(0で無制限)
コメント最大文字数				(0で無制限)
コメントスパン防止機能デフォルトで、以下の場合にコメントは要検閲になります。（旧バージョン互換機能。）　コメント入力画面を表示した時のＩＰアドレスと、ＰＯＳＴする時のＩＰアドレスが違う場合。コメント送信後のリダイレクトに反応しない場合。コメント送信後のダイレクトに反応するがＩＰアドレスが違い、かつ逆引きした時のドメインの下２つが違う場合。ここでは、それ以外の、防止機能の設定を選択します。
	ブラックリスト関連設定
		Blacklist(要検閲）		ブラックリストに登録されているＩＰアドレスからの投稿が、要検閲となります。
			ＲＢＬ指定	カンマ区切り例:list.dsbl.org,bl.spamcop.net,sbl-xbl.spamhaus.org,all.rbl.jp,bsb.empty.us,bsb.spamlookup.net,niku.2ch.net チェック用ＩＰアドレス
		Blacklist(拒否）		ブラックリストに登録されているＩＰアドレスからの投稿を拒否します。要検閲でしばらく運用して、必要になった場合に有効にすることをお勧めします。
			ＲＢＬ指定	カンマ区切り例:list.dsbl.org,bl.spamcop.net,sbl-xbl.spamhaus.org,all.rbl.jp,bsb.empty.us,bsb.spamlookup.net,niku.2ch.net チェック用ＩＰアドレス
		ホワイトリストＩＰ		カンマ区切り。ここで指定したＩＰアドレス（前方一致）については、ＲＢＬに対する問い合わせを行いません。ＲＢＬの負荷軽減の為に、指定したほうがいいかも。ちなみに、ＲＢＬでは、127.0.0.1のようなローカルアドレスが登録されている場合がありますので、これは登録すべきかと。。例：127.,192.168.0.　（最低限これぐらいは指定しましょう。あと、学校や会社のプロキシーのＩＰアドレスも指定しましょうね。あと、自分の学校や会社が間抜けなことに、ブラックリストに入っちゃった時も使えます。）
	Ｔｏｋｅｎ関連設定
		Token(拒否)		コメント投稿画面から、Token文字列(IPアドレスと、画面を表示した時間をハッシュしたもの。携帯の場合は時間のみ。）をＰＯＳＴさせ、これをチェックし、不正、もしくはタイムアウトの場合に再度送信ボタンを押すようユーザーに促します。なお、ここにチェックしなくても、最終的にはデフォルトで要検閲となります。
		Cookie Token (要検閲)		本ブログでは、コメント送信ボタンを押した後、リダイレクトさせて、それにより公開するかどうかを判断しますが、その際に、Cookieでトークンを発行し、これをチェックして要検閲とするかどうかを指定します。現在のところ、CookieをサポートしないＳＰＡＭツールが多いようなので（２００８年５月現在、作者の所に来るＳＰＡＭコメントについて、ですが。）、なかなか有効かと思います。副作用としてはCookieを使用できない端末からのコメントが、要検閲となります。(下のほうの携帯domainの設定と関連します。）
		Javascript Token(要検閲)		コメント投稿画面から、JavascriptでエンコードしたToken文字列をＰＯＳＴさせ、これを最終的にチェックし、不正、もしくはタイムアウトの場合に要検閲とします。Javascriptを使用できない端末からのコメントが、要検閲となります(下のほうの携帯domainの設定と関連します。）。
		Javascript Token(拒否)		コメント投稿画面から、JavascriptでエンコードしたToken文字列をＰＯＳＴさせ、これをチェックし、不正、もしくはタイムアウトの場合に再度送信ボタンを押すようユーザーに促します。Javascriptを使用できない端末からのコメントを拒否してしまいます（下のほうの携帯domainの設定と関連します。）。要検閲でしばらく運用して、必要になった場合に有効にすることをお勧めします。
		携帯、自分の使うプロキシドメイン		カンマ区切り。信用できるＩＰアドレスだが、javascriptやcookieが使えない端末からのアクセスのある携帯のプロキシサーバー、及び、信用できるプロキシだが、毎回ＩＰアドレスを変えてくるプロキシサーバーのドメインを指定します。具体的には、携帯電話のプロキシサーバー、自分の会社、学校等、信用できるプロキシの回線のドメインを指定します。例：.docomo.ne.jp,.ezweb.ne.jp,.jp-t.ne.jp,.jp-k.ne.jp,.jp-c.ne.jp,.jp-q.ne.jp,.mykaisha.co.jp (注：.jp-t.ne.jpとかは、Softbankケイタイです。）
		Token生成用seed		適当に設定してください。忘れても大丈夫。パスワード等とは違うものを設定して、一応秘密にしておいてください。
	質問			古いエントリのコメントは質問への回答が必要になります。V2.0になってからコメントＳＰＡＭ防止機能を強化したので、こういう原始的な手法は、ＳＰＡＭ対策としては必要ないかもしれませんが、設定を変えずにバージョンアップするユーザーや、お友達向けにパスワードを教えて運用している方、等を考慮して、残してあります。
			日数	この日数より、古いコメントは質問の回答が必要です。
			質問内容	例：「栗捨てる」カタカナにすると？？
			回答	例：「クリステル」

以下解説です。（たんなる作者の覚え書き？言い訳？攻略ガイド？）
本blogでコメント投稿時に発行しているTokenは、３種類あります。

	投稿時トークン	投稿時ｊｓトークン	リダイレクトクッキートークン
シンボル	token	jtoken	ctoken
送受信方式	post		cookie
発行タイミング	画面表示時		送信ボタン押し下げ後
発行条件	常に発行	javascript token(拒否、検閲）設定時　かつ、携帯回線以外の場合	cookie token(検閲）設定時　かつ　携帯回線以外の場合
チェックタイミング	送信ボタンを押した時（token（拒否）設定の場合）リダイレクト時	送信ボタンを押した時（javascript token（拒否）設定の場合））リダイレクト時(javascript token(検閲）設定の場合）	リダイレクト時（cookie token(検閲）設定の場合
チェック条件	常にチェック	携帯回線以外の場合	携帯回線以外の場合
md5ハッシュキー	seed+IPアドレス+entry_id+画面表示時間 (携帯回線の場合は、IPアドレスはハッシュキーに含めない）		seed+乱数(投稿コメント特定に使用される乱数）
エンコード	なし	javascript	なし
チェック期限	１８００秒	１８００秒	なし（cookieとしては、６０秒）

トークンの内容が、タイムスタンプをつかったセキュリティ上厳密ではないものですが、まあ、この目的では十分かなと思ってます。一応ＩＰアドレスをハッシュキーに入れてるので、あるとすれば、ＩＰアドレスを共有するプロキシーのユーザー間は、他の人のトークンを知ることができることになります。
ま、Cookie使って、セッション使って、、、厳密な秘密のトークンを設定できなことはないのですが、これだと、やはりファイル入出力が発生するので、これはやりたくないかなあと。軽い！堅牢！の思想からははずれちゃうんで。
結果として、ＣＳＲＦ対策にもなってますが、私のところに来るＳＰＡＭコメントは、ＣＳＲＦのものはなく、殆どすべてが、ゾンビＰＣからのものです。だと思います。ちょっと前までは、狙われたエントリーだけコメント禁止にすれば、大丈夫だったのですが、最近のＳＰＡＭコメントは、自動的にコメントできるエントリーを探す機能（しかもゾンビＰＣを使って）まで備えてるようです。
ま、今のところ（２００８年５月現在、私のところに来るものだけですが）、javascriptを解析するようなのもありませんし、Cookieをサポートしてるようなのもないようですので、これらの設定で、完全に防げていますが、一応、ＲＢＬも設定しています。ＲＢＬのほうは、今のところ、niku.2ch.netが防御率だけは優秀ですね(これは、裏を返せば冤罪も多いかも、、、）。いずれにせよ、新しいゾンビＰＣが次から次へと沸いてきてるのか、忘れた頃にやってくる作戦なのか（ダイナミックＩＰだからＲＢＬ側で期限を設けるとかは仕方ない）、ＲＢＬだけではすり抜けてきます。
さて、この先どうなるやら。CHAPCHAのような、コメントしてくる正規のユーザーが、面倒だとおもうような機能は、使いたくないなあ。