Protecting against gmail dot trick in Discourse

Pourquoi ne l’aurait-il pas utilisé ? Je ne comprends pas. Cela résout son problème d’attaque.

Dans ce cas, peut-être que le meilleur endroit pour cela est Marketplace ?

Mieux vaut qu’un tiers le casse qu’un plugin « officiel » ?

Ce ne serait jamais un plugin officiel, juste trois lignes sur mon compte GitHub si Jeff juge qu’il le veut aujourd’hui.

Cela brise la connexion par e-mail pour un certain nombre de comptes légitimes, y compris mon propre compte e-mail sur Gmail.

Oui, mais je ne pense pas que vous utilisiez son site.

Un certain nombre de victimes civiles sont acceptables en temps de guerre. Alors quoi, si 2 % des utilisateurs ne peuvent pas s’inscrire alors que vous êtes submergé par des milliers d’e-mails avec des adresses + chaque jour ? C’est comme le mode « Je suis sous attaque » de Cloudflare. Certaines personnes légitimes ne pourront pas entrer. C’est le prix à payer pour une sécurité plus stricte.

Votre argument, c’est que le mode « sous attaque » de Cloudflare n’est pas parfait, donc il ne devrait pas exister

En tout cas, j’aurais besoin de voir deux autres rapports légitimes indiquant qu’il s’agit d’un problème à grande échelle avant d’agir.

Pardonnez-moi si j’ai manqué quelque chose d’évident, mais ne serait-il pas plus simple d’ajouter reCAPTCHA à l’écran d’inscription ?

Ce sont généralement des spammeurs humains. Il y en a beaucoup plus maintenant qu’en 2010. Les Captchas sont inutiles face à un adversaire humain.

Ok… Je pensais que ce genre d’inscription avec des points et des + dans Gmail était surtout le fait de bots…

Beaucoup de vrais humains utilisent sharklasers et autres (qui utilisent cela) pour s’inscrire sur notre site, car ils ne souhaitent pas que leur nom d’utilisateur soit associé à leur personne dans la vie réelle. Cela dépendra des circonstances.

L’OP peut définir un temps de lecture de 15 minutes comme condition de confiance pour publier, et exiger que les 5 premiers messages soient approuvés par le personnel, sans droits de modification. Je parierais que son problème disparaîtrait immédiatement.

Une chose que je voudrais certainement confirmer ici, c’est que nous avons des limites de taux raisonnables pour les inscriptions de comptes.

Une seule adresse IP ne devrait être autorisée à enregistrer que N comptes par jour. Mais nous avons besoin d’une sorte de contournement ou de paramètre de site pour les cas où le NAT fait que de nombreux utilisateurs partagent la même adresse IP.

Je préfère que . soit normalisé pour Google, mais que +quelquechose reste tel quel. Donc, si vous comptez faire cela, laissez les administrateurs choisir ce qu’ils souhaitent.

C’est déjà le cas… le problème ici, c’est le Mossad. Ils ont énormément d’adresses IP à leur disposition.

Je constate des limiteurs de débit sur :

• la connexion par e-mail par heure
• l’envoi de l’e-mail d’activation de mise à jour
• la résignification de l’e-mail d’activation
• la liste des deuxièmes facteurs
• l’activation de TOTP
• la connexion administrateur

Je ne vois aucune limite de débit spécifique pour la création de compte, hormis la limitation de débit standard intégrée par adresse IP.

Je me demande si @markersocial peut installer Data Explorer et lister les adresses IP d’enregistrement pour la foule d’utilisateurs qui se sont inscrits. Je veux être certain qu’ils proviennent de 100 adresses IP différentes et non pas d’une seule.

Je serais d’accord, mais Google a ce problème. Au moins, à l’université où j’ai travaillé, il était impossible qu’une classe s’inscrive à Gmail, car l’université a tout accès via un seul NAT.

Je soupçonne qu’une liste blanche NAT résoudrait la plupart des problèmes du monde réel, car il est probablement prévisible d’où proviennent les utilisateurs légitimes.

Défaut pour un petit nombre (ou configurable) d’adresses IP par jour me semble assez sûr.

@sam - Concernant les adresses IP, je confirme que j’utilise la limitation par adresse IP lors de l’inscription et de la connexion, et que je dispose d’une large liste d’adresses IP bannies. Je peux vous assurer qu’il ne s’agit pas d’utilisateurs créant un grand nombre de comptes depuis les mêmes adresses IP ; ce serait idéal, car cela permettrait de les bloquer. La seule façon de les bloquer actuellement est de mettre en liste noire toutes les inscriptions via Gmail.

—

@codinghorror Il existe un service non illégal qui vous donne accès à xx,xxx,xxx adresses IP uniques pour xxx $ par mois. Ainsi, n’importe qui peut facilement obtenir de nombreuses adresses IP, pas seulement le Mossad . Il existe de nombreux autres services légaux proposant d’importants pools d’adresses IP, sans compter les services illégaux de location de botnets.

Je mettrais certainement à jour vers la dernière version ; à tout le moins, les scripts nécessaires pour cette opération vont devenir beaucoup plus pénibles à écrire, compte tenu de mes derniers changements liés aux défis et aux pièges.

De plus, veuillez nous fournir des mises à jour régulières ici, afin que nous puissions en apprendre davantage.

Cela se poursuit-il toujours actuellement ?

Merci beaucoup @sam et désolé de ne pas avoir fait de suivi à ce sujet pour l’instant.

Oui, il semble toujours tout à fait possible de créer un grand nombre de comptes en utilisant cette astuce (2.5.0.beta1).

Par exemple, en utilisant l’astuce username+{chaînealéatoire}@gmail.com, quelqu’un a créé 748 comptes au cours des 10 dernières heures. Ils possèdent déjà des milliers de comptes sur cette seule adresse Gmail.

Pour moi, le seul moyen de les supprimer depuis la zone d’administration est d’aller manuellement sur chaque compte individuellement pour les suspendre et/ou les supprimer. Ce n’est pas très viable car cet individu peut pratiquement appuyer sur un bouton et créer beaucoup plus de comptes.

Ils semblent pratiquement disposer d’un approvisionnement illimité d’adresses IP, donc les bannissements ou limites basés sur les IP sont pratiquement inutiles dans ce cas.

En outre, je reçois toujours de manière constante un grand nombre d’inscriptions utilisant les astuces du point et du + avec Gmail.

Salutations !

Je soutiens l’ajout d’un paramètre de site @codinghorror qui désactive la prise en charge des comptes Gmail en double. Techniquement, l’ajout de ce paramètre prend 15 à 30 minutes.

Merci @sam — je t’ai envoyé un MP avec quelques informations supplémentaires qui pourraient être utiles~

Mon expérience approfondie au fil des années montre que la plupart des bots spammeurs automatisés (pas tous, mais la grande majorité) utilisent la même chaîne ‘HTTP_USER_AGENT’. Même certains bots spammeurs capables de falsifier les adresses IP utilisent souvent la même chaîne ‘HTTP_USER_AGENT’ (ou quelque chose de si faux qu’il est facile à détecter).

La raison est que la plupart des spammeurs et des bots téléchargeent simplement un logiciel de spam et l’exécutent sans vraiment savoir ce qu’ils font. Bien sûr, il existe des exceptions, mais plus de 99 % des bots spammeurs sont de simples scripts ou programmes exécutés par des spammeurs peu sophistiqués qui téléchargent et lancent ces outils (ils ne sont généralement pas des géants de la programmation).

En fait, parfois, ces chaînes ‘HTTP_USER_AGENT’ sont vraiment évidentes. Bien sûr, tout est théoriquement vainquable, mais en pratique, sur nos forums depuis des décennies, nous avons très peu de problèmes de spam (par rapport à d’autres forums) car nous notons les adresses e-mail selon divers critères et rejetons les plus évidentes (nous ne les modérons pas ; lorsque le score dépasse un certain seuil {niveau de confiance}, nous rejetons simplement l’inscription, car qui veut modérer une grande base de données de spam ? Personne.). De plus, nous n’utilisons pas Akismet pour de nombreuses raisons (depuis de nombreuses années), mais je ne veux pas m’égarer sur ce sujet

Cependant, sur nos anciens forums vB, tout cela se fait facilement via un plugin PHP très simple à modifier (et à utiliser pour mener le bon combat) en temps réel. À une époque, nous utilisions un classifieur bayésien, mais j’ai trouvé de meilleures méthodes au fil des ans. Nous avons également utilisé des cookies et n’autorisons les inscriptions que depuis un client ayant accepté la politique de cookies (et autorisant les cookies, conformément à notre politique de confidentialité). Bien sûr, nous pouvons lire un cookie après l’inscription d’un utilisateur et l’utiliser pour détecter les connexions multiples. Cela bloque la plupart des bots spammeurs, franchement. Ce n’est pas de la haute technologie et ce n’est généralement pas « uniquement basé sur l’adresse IP », pour être honnête.

De plus, pour votre information, la plupart des bots spammeurs n’acceptent pas les cookies du tout, donc bloquer simplement les clients qui ne les autorisent pas aide beaucoup.

Je ne veux pas paraître trop « intelligent », mais je fais cela depuis plus de deux décennies, j’ai publié des articles académiques sur le sujet, mené des cyberguerres en temps réel dans ce domaine, et j’ai plus de 20 ans d’expérience en défense cybernétique en temps réel et en techniques anti-spam, donc je sais de quoi je parle ; alors s’il vous plaît, ne soyez pas trop sévère et ne bloquez pas ma réponse si ce type de fonctionnalité n’est pas disponible, prévu ou facilement intégrable dans l’application Discourse, merci.

Soyons inclusifs envers tous, en particulier les experts prêts à aider les utilisateurs.

Salutations.

… 30 secondes plus tard …