Protecting against gmail dot trick in Discourse

Why wouldn’t he use it? I am not following. It fixes his attack problem.

In which case maybe the best place for it is marketplace ?

Better a third party breaks it than an “official” plugin?

It would never be an official plugin, just a 3 liner in my GitHub account if Jeff deems he wants it today.

It breaks email login for a bunch of legitimate accounts. Including my very email account on gmail.

Yes but I don’t think you use his site.

A certain number of civilian casualties are acceptable when you are at war. So what if 2% of users can’t sign up, when you’re being overwhelmed with thousands of fake-plus-addressed emails every day? It’s like cloudflare “I’m under attack” mode. Some legit people won’t get in. That’s the price you pay for the stricter security.

Your argument is that cloudflare “under attack” mode is not perfect therefore it should not exist

At any rate I would need to see 2 more legit reports of this being a large scale problem before moving on it.

Forgive me if something obvious escaped me, but wouldn’t it be easier to add reCAPTCHA to the registration screen?

These are usually human spammers. There are quite a lot of them now compared to 2010. Captchas do nothing against a human adversary.

Ok…I thought this kind of “gmail dot and +” registration was mostly done by bots …

A lot of genuine real humans use sharklasers et al (which use this) to sign up to our site because they don’t want their username attached to their real life person. It’ll depend per circumstance.

OP can set 15m read time as a trust req to posting and first 5 posts needing approving by staff with 0 edit rights and his issue I would wager disappears immediately.

One thing I would certainly like to confirm here is that we have reasonable rate limits for account registrations.

A single IP address should only be allowed to register N accounts per day. But we need some sort of bypass / site setting here for cases where NAT causes a big pile of users to share IP.

I prefer . be normalized for google, however +somthing remain as is. So perhaps if you’re going to do this, let admins choose what they want.

That’s already the case… the problem here is it is Mossad. They have lots and lots of IPs to use.

I am seeing rate limiters on:

• email login per hour
• update activation email
• resend activation email
• list second factors
• enable totp
• admin login

Not seeing any specific rate limit on account create short of the standard built in rate limiting per IP.

Curious if @markersocial can install data explorer and list registration ip address for the swamp of users that registered. I want to know for sure they are coming from 100 IP addresses vs just 1.

I would like to agree, but Google has this problem. At the least University where I worked you couldn’t have a class sign up for Gmail because the university has all access from a single NAT.

I suspect that a NAT whitelist would solve most real world problems, as it’s probably predictable where legitimate users are coming from.

Default to a small (or configurable) number of IPs per day seems pretty safe to me.

@sam - Regarding the IPs, confirming that i do use registration + log in IP limiting and have a large banned IP list. I can assure you that it isn’t users creating significant amounts of accounts on the same IPs, I wish it was, then it would be possible to block. The only way to block them currently is blacklisting all gmail sign ups.

—

@codinghorror There is a non-illegal service that will give you access to xx,xxx,xxx unique IPs for $xxx per month. So it’s easy for anyone to get heaps of IPs, not just Mossad . There are lots of other legal services also offering large pools of IPs, then there are illegal rent-a-botnet services.

I would definitely upgrade to latest, at a minimum scripts to do this bonanza are going to be much more annoying to write given my latest challenge/honeypot changes

Also please give us regular updates here, so we can learn more

Is this still going on right now?

¡Muchas gracias, @sam! Disculpa que aún no haya dado seguimiento a esto.

Sí, todavía parece muy viable crear muchas cuentas usando este truco (2.5.0.beta1).

Por ejemplo, usando el truco de username+{cadena_aleatoria}@gmail.com, alguien creó 748 cuentas en las últimas 10 horas. Ya tienen miles de cuentas asociadas a esa única dirección de Gmail.

Básicamente, la única forma que tengo de eliminarlas desde el área de administración es ir manualmente a cada cuenta individualmente para suspenderlas y/o eliminarlas. No es muy viable porque la persona puede simplemente presionar un botón y crear muchas más cuentas.

Parece que tienen un suministro prácticamente ilimitado de direcciones IP, por lo que los bloqueos o límites por IP son prácticamente inútiles en este caso.

Además, sigo recibiendo consistentemente muchas registraciones usando los trucos del punto y el signo más en Gmail.

¡Saludos!

Apoyo la adición de una configuración del sitio @codinghorror que deshabilite el soporte para cuentas de Gmail duplicadas; técnicamente, es una tarea de 15 a 30 minutos agregar la configuración.

Gracias @sam: te he enviado un mensaje privado con información adicional que podría ser útil~

Mi amplia experiencia con esto a lo largo de los años es que la mayoría de los bots de spam automatizados (no todos, pero la gran mayoría) utilizan la misma cadena ‘HTTP_USER_AGENT’. Incluso algunos de los bots de spam que pueden falsificar direcciones IP suelen usar la misma cadena ‘HTTP_USER_AGENT’ (o algo tan falso que es fácil de detectar).

La razón es que la mayoría de los bombardeadores y spammers simplemente descargan algún software de spam de bots y lo ejecutan, sin saber realmente lo que están haciendo. Sí, por supuesto que hay excepciones, pero el 99+ % de los bots de spam son solo scripts o programas ejecutados por spammers que no son realmente sofisticados y que descargan y ejecutan (en general, no son genios de la programación).

De hecho, a veces estas cadenas ‘HTTP_USER_AGENT’ son realmente obvias. Por supuesto, en teoría todo es posible de vencer, pero en la práctica, en nuestros foros a lo largo de las décadas, hemos tenido muy pocos problemas de spam (en comparación con otros foros) porque calificamos las direcciones de correo electrónico según varios criterios y rechazamos las obvias (no las moderamos; cuando la puntuación supera un cierto umbral {nivel de confianza}, simplemente rechazamos el registro, porque ¿quién quiere moderar una gran base de datos de spam? Nadie.). Además, no usamos Akismet por una serie de razones (desde hace muchos, muchos años), pero no quiero desviarme del tema

Sin embargo, en nuestros antiguos foros vB, todo esto se hace fácilmente en un plugin de PHP que es muy fácil de modificar (y luchar la buena batalla) en tiempo real. En un momento utilizamos un clasificador bayesiano, pero con el tiempo encontré mejores métodos. También hemos utilizado cookies y solo permitimos registros desde un cliente que haya aceptado la política de cookies (y permita las cookies, según nuestra política de privacidad), y por supuesto, podemos leer una cookie después de que un usuario se registra y usarla para detectar múltiples inicios de sesión. Esto detiene a la mayoría de los bots de spam, francamente. No es ciencia espacial y, francamente, no se basa generalmente “solo en la dirección IP”.

Además, por si acaso, la mayoría de los bots de spam no aceptan cookies en absoluto, por lo que simplemente bloquear los clientes que no permiten cookies ayuda mucho.

No quiero sonar demasiado “inteligente”, pero llevo más de dos décadas haciendo esto, he publicado artículos académicos sobre el tema, he librado ciberguerras en tiempo real en este ámbito y tengo más de 20 años de experiencia en defensa cibernética en tiempo real y técnicas antispam, así que sé de lo que hablo; así que, por favor, no seas demasiado duro y bloquees mi respuesta si este tipo de funcionalidad no está disponible, planificada ni es fácil de codificar en la aplicación Discourse, gracias.

Seamos inclusivos con todos, especialmente con los expertos que están dispuestos a ayudar a los usuarios.

Saludos.

… 30 segundos después …