WordPress piedāvā iespēju komentāros pievienot HTML kodu. Man šī iespēja īpaši nesajūsmināja, jo tuvāka šķita BBCode sintakse, kas ierobežo dažādas jēlības. Kā reizi izlasīju par vienu tādu. Izrādās, ka visās pēdējās WordPress versijās no 2.1 līdz pat 2.3.1 ir iespējams pievienot komentāru, kas vizuāli nebūs redzams.
The current version of WordPress (also 2.1-2.3.1 verified so far) is apparently vulnerable to an HTML-tainting attack.
Kods izskatās aptuveni šādi.
Izmantojot CSS absolūto pozicionēšanu, tiek paslēpts komentāra saturs.
<div id=”mnu1″ style=”overflow: auto; position: absolute; z-index: 1; left: -500px; text-indent: -500px; width: 600px; text-align:left”>
Where <a href=”http://www.adrese.nav/”>download mp3 music</a>? It’s obvious.<br /> Fast downloads and super high quality… <br />Try to guess, what’s the best site to <a href=”http://www.adrese.nav/”>download movies</a>? Yes, that’s right.<br /> I recently downloaded few films with super high quality.
</div>
Galvenais, ka meklētāji arī šo joku pagaidām neņem, jo tajā nav izmantots maģiskais display:none. Tagad es domāju, ko darīt. Likt virsū BBCode spraudni vai nē.
SEO Egghead piedāvā primitīvu spraudni HTMLTaintCheck, kas meklēs iespējamos spamera komentārus.
Liec vien labāk to spraudni, bet savādāk ieteiktu lietot kādus mazāk izplatītus “dziņus”, piemēram, Pivot! Ar spamu nekad nav bijušas problēmas, kā reiz top jauna, lietotājam draudzīga versija: http://www.pivotlog.net/temp/
Mazāk populārajiem dziņiem ir problēmas ar to, ka tie netiek tik labi attīstīti un uzlaboti.
Neredzu problēmu.. Akismet ar šo tiek galā..
Interesanti, pagaidām nekas tāds nav manīts.
Where Šitais ies vai neies cauri ?
Ko tu padariji savam blogam, ka nelaiž cauri?
mlje shitas gan ir sviests, es gan lietoju akismet un spam karma
uz 2.3 vispār ir vērts aupgreidoties? Vai vēl pagaidīt?
krizdabz, Akismet “tiek galā” arī ar daudz ko, kas nav spams. 🙁