コメント投稿設定

RBL問い合わせ結果:203.162.2.135
RBL 結果 処理時間(秒)
list.dsbl.org 登録なし 0.452
bl.spamcop.net 登録なし 0.189
sbl-xbl.spamhaus.org 登録なし 0.162
all.rbl.jp 登録あり(127.0.0.4) 0.026
bsb.empty.us 登録なし 0.148
bsb.spamlookup.net 登録なし 0.147
niku.2ch.net 登録あり(127.0.0.2) 0.001
名前最大文字数 (0で無制限)
メール最大文字数 (0で無制限)
URL最大文字数 (0で無制限)
コメント最大文字数 (0で無制限)
コメントスパン防止機能
デフォルトで、以下の場合にコメントは要検閲になります。(旧バージョン互換機能。)  
  • コメント入力画面を表示した時のIPアドレスと、POSTする時のIPアドレスが違う場合。
  • コメント送信後のリダイレクトに反応しない場合。
  • コメント送信後のダイレクトに反応するがIPアドレスが違い、かつ逆引きした時のドメインの下2つが違う場合。
ここでは、それ以外の、防止機能の設定を選択します。
ブラックリスト関連設定
Blacklist(要検閲) ブラックリストに登録されているIPアドレスからの投稿が、要検閲となります。
RBL指定 カンマ区切り
例:list.dsbl.org,bl.spamcop.net,sbl-xbl.spamhaus.org,all.rbl.jp,bsb.empty.us,bsb.spamlookup.net,niku.2ch.net
チェック用IPアドレス
Blacklist(拒否) ブラックリストに登録されているIPアドレスからの投稿を拒否します。要検閲でしばらく運用して、必要になった場合に有効にすることをお勧めします。
RBL指定 カンマ区切り
例:list.dsbl.org,bl.spamcop.net,sbl-xbl.spamhaus.org,all.rbl.jp,bsb.empty.us,bsb.spamlookup.net,niku.2ch.net
チェック用IPアドレス
ホワイトリストIP
カンマ区切り。ここで指定したIPアドレス(前方一致)については、RBLに対する問い合わせを行いません。RBLの負荷軽減の為に、指定したほうがいいかも。ちなみに、RBLでは、127.0.0.1のようなローカルアドレスが登録されている場合がありますので、これは登録すべきかと。。
例:127.,192.168.0. (最低限これぐらいは指定しましょう。あと、学校や会社のプロキシーのIPアドレスも指定しましょうね。あと、自分の学校や会社が間抜けなことに、ブラックリストに入っちゃった時も使えます。)
Token関連設定
Token(拒否) コメント投稿画面から、Token文字列(IPアドレスと、画面を表示した時間をハッシュしたもの。携帯の場合は時間のみ。)をPOSTさせ、これをチェックし、不正、もしくはタイムアウトの場合に再度送信ボタンを押すようユーザーに促します。なお、ここにチェックしなくても、最終的にはデフォルトで要検閲となります。
Cookie Token (要検閲) 本ブログでは、コメント送信ボタンを押した後、リダイレクトさせて、それにより公開するかどうかを判断しますが、その際に、Cookieでトークンを発行し、これをチェックして要検閲とするかどうかを指定します。現在のところ、CookieをサポートしないSPAMツールが多いようなので(2008年5月現在、作者の所に来るSPAMコメントについて、ですが。)、なかなか有効かと思います。副作用としてはCookieを使用できない端末からのコメントが、要検閲となります。(下のほうの携帯domainの設定と関連します。)
Javascript Token(要検閲) コメント投稿画面から、JavascriptでエンコードしたToken文字列をPOSTさせ、これを最終的にチェックし、不正、もしくはタイムアウトの場合に要検閲とします。Javascriptを使用できない端末からのコメントが、要検閲となります(下のほうの携帯domainの設定と関連します。)。
Javascript Token(拒否) コメント投稿画面から、JavascriptでエンコードしたToken文字列をPOSTさせ、これをチェックし、不正、もしくはタイムアウトの場合に再度送信ボタンを押すようユーザーに促します。Javascriptを使用できない端末からのコメントを拒否してしまいます(下のほうの携帯domainの設定と関連します。)。要検閲でしばらく運用して、必要になった場合に有効にすることをお勧めします。
携帯、自分の使うプロキシドメイン
カンマ区切り。信用できるIPアドレスだが、javascriptやcookieが使えない端末からのアクセスのある携帯のプロキシサーバー、及び、信用できるプロキシだが、毎回IPアドレスを変えてくるプロキシサーバーのドメインを指定します。具体的には、携帯電話のプロキシサーバー、自分の会社、学校等、信用できるプロキシの回線のドメインを指定します。
例:.docomo.ne.jp,.ezweb.ne.jp,.jp-t.ne.jp,.jp-k.ne.jp,.jp-c.ne.jp,.jp-q.ne.jp,.mykaisha.co.jp (注:.jp-t.ne.jpとかは、Softbankケイタイです。)
Token生成用seed 適当に設定してください。忘れても大丈夫。パスワード等とは違うものを設定して、一応秘密にしておいてください。
質問 古いエントリのコメントは質問への回答が必要になります。V2.0になってからコメントSPAM防止機能を強化したので、こういう原始的な手法は、SPAM対策としては必要ないかもしれませんが、設定を変えずにバージョンアップするユーザーや、お友達向けにパスワードを教えて運用している方、等を考慮して、残してあります。
日数 この日数より、古いコメントは質問の回答が必要です。
質問内容 例:「栗捨てる」カタカナにすると??
回答 例:「クリステル」
以下解説です。(たんなる作者の覚え書き?言い訳?攻略ガイド?)
本blogでコメント投稿時に発行しているTokenは、3種類あります。
投稿時トークン 投稿時jsトークン リダイレクトクッキートークン
シンボル token jtoken ctoken
送受信方式 post cookie
発行タイミング 画面表示時 送信ボタン押し下げ後
発行条件 常に発行 javascript token(拒否、検閲)設定時 かつ、携帯回線以外の場合
cookie token(検閲)設定時 かつ 携帯回線以外の場合
チェックタイミング 送信ボタンを押した時(token(拒否)設定の場合)
リダイレクト時
送信ボタンを押した時(javascript token(拒否)設定の場合))
リダイレクト時(javascript token(検閲)設定の場合)
リダイレクト時(cookie token(検閲)設定の場合
チェック条件 常にチェック 携帯回線以外の場合 携帯回線以外の場合
md5ハッシュキー seed+IPアドレス+entry_id+画面表示時間
(携帯回線の場合は、IPアドレスはハッシュキーに含めない)
seed+乱数(投稿コメント特定に使用される乱数)
エンコード なし javascript なし
チェック期限 1800秒 1800秒 なし(cookieとしては、60秒)
トークンの内容が、タイムスタンプをつかったセキュリティ上厳密ではないものですが、まあ、この目的では十分かなと思ってます。 一応IPアドレスをハッシュキーに入れてるので、あるとすれば、IPアドレスを共有するプロキシーのユーザー間は、他の人のトークンを知ることができることになります。
ま、Cookie使って、セッション使って、、、厳密な秘密のトークンを設定できなことはないのですが、これだと、やはりファイル入出力が発生するので、これはやりたくないかなあと。軽い!堅牢!の思想からははずれちゃうんで。
結果として、CSRF対策にもなってますが、私のところに来るSPAMコメントは、CSRFのものはなく、殆どすべてが、ゾンビPCからのものです。だと思います。ちょっと前までは、狙われたエントリーだけコメント禁止にすれば、大丈夫だったのですが、最近のSPAMコメントは、自動的にコメントできるエントリーを探す機能(しかもゾンビPCを使って)まで備えてるようです。
ま、今のところ(2008年5月現在、私のところに来るものだけですが)、javascriptを解析するようなのもありませんし、Cookieをサポートしてるようなのもないようですので、これらの設定で、完全に防げていますが、一応、RBLも設定しています。RBLのほうは、今のところ、niku.2ch.netが防御率だけは優秀ですね(これは、裏を返せば冤罪も多いかも、、、)。いずれにせよ、新しいゾンビPCが次から次へと沸いてきてるのか、忘れた頃にやってくる作戦なのか(ダイナミックIPだからRBL側で期限を設けるとかは仕方ない)、RBLだけではすり抜けてきます。
さて、この先どうなるやら。CHAPCHAのような、コメントしてくる正規のユーザーが、面倒だとおもうような機能は、使いたくないなあ。