對抗 trackback spam: MTDisguise TrackbackURL

自從加了檢核碼以後，迴響(comments)的spam絕跡，但是trackback spam開始出現。難道要真的跟Jan所說的一樣，Comment Spam影響Blog的生命力，把blog環境搞死spam才高興嗎？ 不過抱怨歸抱怨，blog勇者們可不能就此推縮，elise有介紹幾種主流的anti-trackback spam方法的整理 -- Learning Movable Type: Trackback Spam。 大致上是有以下幾種方法：(1)裝MT-blacklist (2)更改trackback cgi 檔名 (3)關閉就文章的trackback功能 (4)Open Proxy Blocking (5)mod_security (6)其他。 最有效是MT-blacklist，但是大家都知道這方法不是100%檔得住；改檔名幾乎無效；關閉trackback等於投降；Open Proxy Blocking 試用MT3.0以上；mod_security與MT-blacklist一樣，。所以我用的方法是(6)其他中的 MTDisguiseTrackbackURL ，這是一個小plug-in，可以在此下載 0.5 beta板。安裝方法就是直接把DisguiseTrackbackURL.pl 複製到MT的plugins目錄下就可以了。 這個plugin的原理是，「掩飾原本的trackback URL」。把原本<MTEntryTrackbackURL> 會輸出的文字換成用java-script的方式產生，不過只要瀏覽器可以正常支援java-script，就可以正常的觀看與複製，但是html原始碼就不會是直接的trackback URL，而是以script的方式拆成幾個不同的部分。 這個方法優點是，只要裝上plugin就好，其他動作都不用改。如果就文章的trackback是寫在單篇網址上的話，頂多只要全部頁面重建一次就好。不過缺點就是...還是很容易被破解，而且網頁中rdf部分的trackback資訊也沒有掩飾。 以spam機器人進化的速度來看，要破解這個plugin也許只是要或不要的問題而已。不過就先試著看看吧。 elise文中認為，最需要的是能夠讓blog能在trackback貼出來之前先經過作者的同意，不過elise覺得這個需求已經出現在Six Apart的建議之中，就看他們開發這項功能的優先順序。不過對我而言，這並不是太好的消息，因為我是守在2.6X版的老MT，新版的授權沒辦法讓我得以維持多人的blog平台。