Protecting against gmail dot trick in Discourse

Why wouldn’t he use it? I am not following. It fixes his attack problem.

In which case maybe the best place for it is marketplace ?

Better a third party breaks it than an “official” plugin?

It would never be an official plugin, just a 3 liner in my GitHub account if Jeff deems he wants it today.

It breaks email login for a bunch of legitimate accounts. Including my very email account on gmail.

Yes but I don’t think you use his site.

A certain number of civilian casualties are acceptable when you are at war. So what if 2% of users can’t sign up, when you’re being overwhelmed with thousands of fake-plus-addressed emails every day? It’s like cloudflare “I’m under attack” mode. Some legit people won’t get in. That’s the price you pay for the stricter security.

Your argument is that cloudflare “under attack” mode is not perfect therefore it should not exist

At any rate I would need to see 2 more legit reports of this being a large scale problem before moving on it.

Forgive me if something obvious escaped me, but wouldn’t it be easier to add reCAPTCHA to the registration screen?

These are usually human spammers. There are quite a lot of them now compared to 2010. Captchas do nothing against a human adversary.

Ok…I thought this kind of “gmail dot and +” registration was mostly done by bots …

A lot of genuine real humans use sharklasers et al (which use this) to sign up to our site because they don’t want their username attached to their real life person. It’ll depend per circumstance.

OP can set 15m read time as a trust req to posting and first 5 posts needing approving by staff with 0 edit rights and his issue I would wager disappears immediately.

One thing I would certainly like to confirm here is that we have reasonable rate limits for account registrations.

A single IP address should only be allowed to register N accounts per day. But we need some sort of bypass / site setting here for cases where NAT causes a big pile of users to share IP.

I prefer . be normalized for google, however +somthing remain as is. So perhaps if you’re going to do this, let admins choose what they want.

That’s already the case… the problem here is it is Mossad. They have lots and lots of IPs to use.

I am seeing rate limiters on:

• email login per hour
• update activation email
• resend activation email
• list second factors
• enable totp
• admin login

Not seeing any specific rate limit on account create short of the standard built in rate limiting per IP.

Curious if @markersocial can install data explorer and list registration ip address for the swamp of users that registered. I want to know for sure they are coming from 100 IP addresses vs just 1.

I would like to agree, but Google has this problem. At the least University where I worked you couldn’t have a class sign up for Gmail because the university has all access from a single NAT.

I suspect that a NAT whitelist would solve most real world problems, as it’s probably predictable where legitimate users are coming from.

Default to a small (or configurable) number of IPs per day seems pretty safe to me.

@sam - Regarding the IPs, confirming that i do use registration + log in IP limiting and have a large banned IP list. I can assure you that it isn’t users creating significant amounts of accounts on the same IPs, I wish it was, then it would be possible to block. The only way to block them currently is blacklisting all gmail sign ups.

—

@codinghorror There is a non-illegal service that will give you access to xx,xxx,xxx unique IPs for $xxx per month. So it’s easy for anyone to get heaps of IPs, not just Mossad . There are lots of other legal services also offering large pools of IPs, then there are illegal rent-a-botnet services.

I would definitely upgrade to latest, at a minimum scripts to do this bonanza are going to be much more annoying to write given my latest challenge/honeypot changes

Also please give us regular updates here, so we can learn more

Is this still going on right now?

Grazie mille @sam e scusa se non ho ancora fatto seguito a questo.

Sì, sembra ancora molto fattibile creare molti account usando questo trucco (2.5.0.beta1).

Ad esempio, utilizzando il trucco username+{stringacasuale}@gmail.com, qualcuno ha creato 748 account nelle ultime 10 ore. Hanno già migliaia di account su questo singolo indirizzo Gmail.

Quasi l’unico modo per me per rimuoverli dall’area di amministrazione è andare manualmente su ogni account singolarmente per sospenderli e/o eliminarli. Non è molto fattibile perché quella persona può semplicemente premere un pulsante e creare molti altri account.

Sembra che abbiano quasi una fornitura illimitata di indirizzi IP, quindi i blocchi/limiti basati sugli IP sono praticamente inutili in questo caso.

Inoltre, continuo a ricevere costantemente un numero piuttosto elevato di registrazioni utilizzando i trucchi del punto e del simbolo + su Gmail.

Ciao!

Sono a favore dell’aggiunta di un’impostazione del sito @codinghorror che disabiliti il supporto per account Gmail duplicati; tecnicamente, aggiungere l’impostazione richiede da 15 a 30 minuti.

Grazie @sam - ti ho inviato un messaggio privato con alcune informazioni aggiuntive che potrebbero essere utili~

La mia vasta esperienza in materia nel corso degli anni mi porta a dire che la maggior parte dei bot spam automatizzati (non tutti, ma la stragrande maggioranza) utilizza la stessa stringa ‘HTTP_USER_AGENT’. Anche alcuni bot spam in grado di falsificare gli indirizzi IP spesso usano la stessa ‘HTTP_USER_AGENT’ (o qualcosa di così palesemente falso che è facile da rilevare).

Il motivo è che la maggior parte dei bombardatori e degli spammer scarica semplicemente un software di spam bot, lo esegue e non sa davvero cosa sta facendo. Sì, ovviamente ci sono eccezioni, ma il 99+% dei bot spam sono solo script/programmi eseguiti da spammer non particolarmente sofisticati che scaricano ed eseguono (in generale non sono giganti della programmazione).

In effetti, a volte queste stringhe ‘HTTP_USER_AGENT’ sono davvero ovvie. Naturalmente, in teoria tutto può essere sconfitto, ma nella pratica, nei nostri forum nel corso dei decenni, abbiamo avuto pochissimi problemi di spam (rispetto ad altri forum) perché assegniamo un punteggio agli indirizzi email in base a vari criteri e rifiutiamo quelli più evidenti (non li moderiamo: quando il punteggio supera una certa soglia [livello di confidenza], rifiutiamo semplicemente la registrazione, perché chi vuole moderare un ampio database di spam? Nessuno). Inoltre, non usiamo Akismet per una serie di motivi (da molti, molti anni), ma non voglio divagare su questo argomento

Tuttavia, nei nostri vecchi forum vB tutto ciò viene fatto facilmente tramite un plugin PHP, molto semplice da modificare (e per combattere la buona battaglia) in tempo reale. Un tempo utilizzavamo un classificatore bayesiano, ma nel corso degli anni ho trovato metodi migliori. Abbiamo anche utilizzato i cookie, permettendo le registrazioni solo da client che hanno accettato la politica sui cookie (e che permettono i cookie, conformemente alla nostra politica sulla privacy); naturalmente, possiamo leggere un cookie dopo che un utente si è registrato e utilizzarlo per rilevare accessi multipli. Questo blocca la maggior parte dei bot spam, francamente. Non è una scienza spaziale e, a dire il vero, non si basa “solo sugli indirizzi IP”.

Inoltre, per tua informazione, la maggior parte dei bot spam non accetta affatto i cookie, quindi bloccare semplicemente i client che non permettono i cookie aiuta moltissimo.

Non voglio sembrare troppo “sapiente”, ma ho fatto questo per oltre due decenni, ho pubblicato articoli accademici sull’argomento, ho combattuto guerre informatiche in tempo reale in questo settore e ho oltre 20 anni di esperienza nelle tecniche di difesa informatica in tempo reale e anti-spam, quindi so davvero di cosa parlo; quindi, per favore, non essere troppo severo e bloccare la mia risposta se questa funzionalità non è disponibile, non è prevista o non può essere facilmente implementata nell’app Discourse, grazie.

Cerchiamo di essere inclusivi con tutti, in particolare con gli esperti disposti ad aiutare gli utenti.

Ciao.

… 30 secondi dopo …