Protecting against gmail dot trick in Discourse

Why wouldn’t he use it? I am not following. It fixes his attack problem.

In which case maybe the best place for it is marketplace ?

Better a third party breaks it than an “official” plugin?

It would never be an official plugin, just a 3 liner in my GitHub account if Jeff deems he wants it today.

It breaks email login for a bunch of legitimate accounts. Including my very email account on gmail.

Yes but I don’t think you use his site.

A certain number of civilian casualties are acceptable when you are at war. So what if 2% of users can’t sign up, when you’re being overwhelmed with thousands of fake-plus-addressed emails every day? It’s like cloudflare “I’m under attack” mode. Some legit people won’t get in. That’s the price you pay for the stricter security.

Your argument is that cloudflare “under attack” mode is not perfect therefore it should not exist

At any rate I would need to see 2 more legit reports of this being a large scale problem before moving on it.

Forgive me if something obvious escaped me, but wouldn’t it be easier to add reCAPTCHA to the registration screen?

These are usually human spammers. There are quite a lot of them now compared to 2010. Captchas do nothing against a human adversary.

Ok…I thought this kind of “gmail dot and +” registration was mostly done by bots …

A lot of genuine real humans use sharklasers et al (which use this) to sign up to our site because they don’t want their username attached to their real life person. It’ll depend per circumstance.

OP can set 15m read time as a trust req to posting and first 5 posts needing approving by staff with 0 edit rights and his issue I would wager disappears immediately.

One thing I would certainly like to confirm here is that we have reasonable rate limits for account registrations.

A single IP address should only be allowed to register N accounts per day. But we need some sort of bypass / site setting here for cases where NAT causes a big pile of users to share IP.

I prefer . be normalized for google, however +somthing remain as is. So perhaps if you’re going to do this, let admins choose what they want.

That’s already the case… the problem here is it is Mossad. They have lots and lots of IPs to use.

I am seeing rate limiters on:

• email login per hour
• update activation email
• resend activation email
• list second factors
• enable totp
• admin login

Not seeing any specific rate limit on account create short of the standard built in rate limiting per IP.

Curious if @markersocial can install data explorer and list registration ip address for the swamp of users that registered. I want to know for sure they are coming from 100 IP addresses vs just 1.

I would like to agree, but Google has this problem. At the least University where I worked you couldn’t have a class sign up for Gmail because the university has all access from a single NAT.

I suspect that a NAT whitelist would solve most real world problems, as it’s probably predictable where legitimate users are coming from.

Default to a small (or configurable) number of IPs per day seems pretty safe to me.

@sam - Regarding the IPs, confirming that i do use registration + log in IP limiting and have a large banned IP list. I can assure you that it isn’t users creating significant amounts of accounts on the same IPs, I wish it was, then it would be possible to block. The only way to block them currently is blacklisting all gmail sign ups.

—

@codinghorror There is a non-illegal service that will give you access to xx,xxx,xxx unique IPs for $xxx per month. So it’s easy for anyone to get heaps of IPs, not just Mossad . There are lots of other legal services also offering large pools of IPs, then there are illegal rent-a-botnet services.

I would definitely upgrade to latest, at a minimum scripts to do this bonanza are going to be much more annoying to write given my latest challenge/honeypot changes

Also please give us regular updates here, so we can learn more

Is this still going on right now?

Merci beaucoup @sam et désolé de ne pas avoir fait de suivi à ce sujet pour l’instant.

Oui, il semble toujours tout à fait possible de créer un grand nombre de comptes en utilisant cette astuce (2.5.0.beta1).

Par exemple, en utilisant l’astuce username+{chaînealéatoire}@gmail.com, quelqu’un a créé 748 comptes au cours des 10 dernières heures. Ils possèdent déjà des milliers de comptes sur cette seule adresse Gmail.

Pour moi, le seul moyen de les supprimer depuis la zone d’administration est d’aller manuellement sur chaque compte individuellement pour les suspendre et/ou les supprimer. Ce n’est pas très viable car cet individu peut pratiquement appuyer sur un bouton et créer beaucoup plus de comptes.

Ils semblent pratiquement disposer d’un approvisionnement illimité d’adresses IP, donc les bannissements ou limites basés sur les IP sont pratiquement inutiles dans ce cas.

En outre, je reçois toujours de manière constante un grand nombre d’inscriptions utilisant les astuces du point et du + avec Gmail.

Salutations !

Je soutiens l’ajout d’un paramètre de site @codinghorror qui désactive la prise en charge des comptes Gmail en double. Techniquement, l’ajout de ce paramètre prend 15 à 30 minutes.

Merci @sam — je t’ai envoyé un MP avec quelques informations supplémentaires qui pourraient être utiles~

Mon expérience approfondie au fil des années montre que la plupart des bots spammeurs automatisés (pas tous, mais la grande majorité) utilisent la même chaîne ‘HTTP_USER_AGENT’. Même certains bots spammeurs capables de falsifier les adresses IP utilisent souvent la même chaîne ‘HTTP_USER_AGENT’ (ou quelque chose de si faux qu’il est facile à détecter).

La raison est que la plupart des spammeurs et des bots téléchargeent simplement un logiciel de spam et l’exécutent sans vraiment savoir ce qu’ils font. Bien sûr, il existe des exceptions, mais plus de 99 % des bots spammeurs sont de simples scripts ou programmes exécutés par des spammeurs peu sophistiqués qui téléchargent et lancent ces outils (ils ne sont généralement pas des géants de la programmation).

En fait, parfois, ces chaînes ‘HTTP_USER_AGENT’ sont vraiment évidentes. Bien sûr, tout est théoriquement vainquable, mais en pratique, sur nos forums depuis des décennies, nous avons très peu de problèmes de spam (par rapport à d’autres forums) car nous notons les adresses e-mail selon divers critères et rejetons les plus évidentes (nous ne les modérons pas ; lorsque le score dépasse un certain seuil {niveau de confiance}, nous rejetons simplement l’inscription, car qui veut modérer une grande base de données de spam ? Personne.). De plus, nous n’utilisons pas Akismet pour de nombreuses raisons (depuis de nombreuses années), mais je ne veux pas m’égarer sur ce sujet

Cependant, sur nos anciens forums vB, tout cela se fait facilement via un plugin PHP très simple à modifier (et à utiliser pour mener le bon combat) en temps réel. À une époque, nous utilisions un classifieur bayésien, mais j’ai trouvé de meilleures méthodes au fil des ans. Nous avons également utilisé des cookies et n’autorisons les inscriptions que depuis un client ayant accepté la politique de cookies (et autorisant les cookies, conformément à notre politique de confidentialité). Bien sûr, nous pouvons lire un cookie après l’inscription d’un utilisateur et l’utiliser pour détecter les connexions multiples. Cela bloque la plupart des bots spammeurs, franchement. Ce n’est pas de la haute technologie et ce n’est généralement pas « uniquement basé sur l’adresse IP », pour être honnête.

De plus, pour votre information, la plupart des bots spammeurs n’acceptent pas les cookies du tout, donc bloquer simplement les clients qui ne les autorisent pas aide beaucoup.

Je ne veux pas paraître trop « intelligent », mais je fais cela depuis plus de deux décennies, j’ai publié des articles académiques sur le sujet, mené des cyberguerres en temps réel dans ce domaine, et j’ai plus de 20 ans d’expérience en défense cybernétique en temps réel et en techniques anti-spam, donc je sais de quoi je parle ; alors s’il vous plaît, ne soyez pas trop sévère et ne bloquez pas ma réponse si ce type de fonctionnalité n’est pas disponible, prévu ou facilement intégrable dans l’application Discourse, merci.

Soyons inclusifs envers tous, en particulier les experts prêts à aider les utilisateurs.

Salutations.

… 30 secondes plus tard …