Protecting against gmail dot trick in Discourse

Por que ele não usaria? Não estou entendendo. Isso resolve o problema do ataque dele.

Nesse caso, talvez o melhor lugar para isso seja Marketplace?

É melhor que um terceiro quebre do que um plugin “oficial”?

Nunca seria um plugin oficial, apenas três linhas na minha conta do GitHub, caso Jeff ache que quer isso hoje.

Isso quebra o login por e-mail para várias contas legítimas. Incluindo minha própria conta de e-mail no Gmail.

Sim, mas acho que você não usa o site dele.

Um certo número de baixas civis é aceitável quando se está em guerra. E se 2% dos usuários não conseguirem se cadastrar, enquanto você está sobrecarregado com milhares de e-mails com endereçamento falso todos os dias? É como o modo “I’m under attack” (Estou sob ataque) do Cloudflare. Algumas pessoas legítimas não conseguirão entrar. Esse é o preço que se paga por uma segurança mais rigorosa.

Seu argumento é que o modo “under attack” do Cloudflare não é perfeito, portanto não deveria existir

De qualquer forma, eu precisaria ver mais dois relatórios legítimos indicando que isso é um problema em grande escala antes de agir sobre isso.

Peço desculpas se algo óbvio me escapou, mas não seria mais fácil adicionar o reCAPTCHA à tela de registro?

Geralmente, são spammers humanos. Hoje em dia, há muitos mais deles em comparação com 2010. Os CAPTCHAs não fazem nada contra um adversário humano.

Ok… Eu pensei que esse tipo de registro com “ponto e +” no Gmail fosse feito principalmente por bots…

Muitos humanos reais e genuínos usam o sharklasers e outros (que utilizam isso) para se cadastrar em nosso site porque não querem que seu nome de usuário esteja vinculado à sua pessoa na vida real. Isso dependerá de cada circunstância.

O OP pode definir um tempo de leitura de 15 minutos como requisito de confiança para postar, exigir que os primeiros 5 posts sejam aprovados pela equipe, que terá 0 direitos de edição, e acredito que o problema dele desapareça imediatamente.

Uma coisa que eu certamente gostaria de confirmar aqui é que temos limites de taxa razoáveis para registros de contas.

Um único endereço IP deve permitir o registro de apenas N contas por dia. Mas precisamos de algum tipo de contorno ou configuração do site para casos em que o NAT faz com que um grande número de usuários compartilhe o mesmo IP.

Eu prefiro que . seja normalizado para o Google, no entanto +alguma coisa permaneça como está. Então, talvez, se você for fazer isso, permita que os administradores escolham o que desejam.

Já é assim… o problema aqui é que se trata do Mossad. Eles têm muitos e muitos endereços IP para usar.

Estou vendo limitadores de taxa em:

• login por e-mail por hora
• e-mail de ativação de atualização
• reenvio do e-mail de ativação
• listagem de segundos fatores
• ativação de TOTP
• login de administrador

Não estou vendo nenhum limite de taxa específico para criação de conta, além do limite de taxa padrão integrado por IP.

Tenho curiosidade se @markersocial pode instalar o Data Explorer e listar os endereços IP de registro para o enxame de usuários que se registraram. Quero ter certeza de que eles estão vindo de 100 endereços IP diferentes, e não apenas de um.

Gostaria de concordar, mas o Google tem esse problema. Pelo menos na universidade onde eu trabalhava, não era possível que uma turma se inscrevesse no Gmail, porque a universidade tinha todo o acesso a partir de um único NAT.

Suspeito que uma lista branca de NAT resolveria a maioria dos problemas do mundo real, já que provavelmente é previsível de onde os usuários legítimos estão vindo.

Padronizar para um número pequeno (ou configurável) de IPs por dia parece bastante seguro para mim.

@sam - Em relação aos IPs, confirmo que utilizo limitação de IP no registro e no login e possuo uma extensa lista de IPs banidos. Posso assegurar que não são usuários criando quantidades significativas de contas nos mesmos IPs; se fosse, seria possível bloqueá-los. A única maneira de bloqueá-los atualmente é listar todos os cadastros com Gmail como negados.

—

@codinghorror Existe um serviço não ilegal que oferece acesso a xx,xxx,xxx IPs únicos por $xxx por mês. Portanto, é fácil para qualquer pessoa obter muitos IPs, não apenas o Mossad . Há muitos outros serviços legais que também oferecem grandes pools de IPs; além disso, existem serviços ilegais de aluguel de botnets.

Eu definitivamente faria o upgrade para a versão mais recente; no mínimo, os scripts para realizar essa farra vão se tornar muito mais trabalhosos de escrever, dado minhas últimas mudanças de desafio/isca.

Além disso, por favor, nos dê atualizações regulares aqui, para que possamos aprender mais.

Isso ainda está acontecendo agora?

Ótimo, obrigado @sam e desculpe por ainda não ter dado um retorno sobre isso.

Sim, ainda parece bastante viável criar muitas contas usando esse truque (2.5.0.beta1).

Por exemplo, usando o truque de username+{stringaleatoria}@gmail.com, alguém criou 748 contas nas últimas 10 horas. Eles já têm milhares de contas usando esse único endereço do Gmail.

Praticamente a única maneira que tenho de removê-los da área de administração é acessando cada conta individualmente para suspender e/ou excluí-las. Não é muito viável, porque a pessoa pode simplesmente pressionar um botão e criar muitas outras contas.

Eles parecem ter um suprimento praticamente ilimitado de IPs, então proibições ou limites por IP são praticamente inúteis nesse caso.

Além disso, ainda estou recebendo consistentemente um bom número de registros usando os truques do ponto e do sinal de mais no Gmail.

Abraços!

Apoio a adição de uma configuração de site @codinghorror que desabilite o suporte a contas duplicadas do Gmail. Tecnicamente, é um trabalho de 15 a 30 minutos para adicionar a configuração.

Obrigado @sam - Enviei uma mensagem privada com algumas informações adicionais que podem ser úteis~

Minha extensa experiência com isso ao longo dos anos é que a maioria dos spambots automatizados (não todos, mas a vasta maioria) usa a mesma string de ‘HTTP_USER_AGENT’. Até mesmo alguns bots de spam que conseguem falsificar endereços de IP frequentemente usam o mesmo ‘HTTP_USER_AGENT’ (ou algo tão falso que é fácil de detectar).

O motivo é que a maioria dos bombardeadores e spammers apenas baixa algum software de spam de bots e o executa, sem realmente saber o que estão fazendo. Sim, claro, existem exceções, mas mais de 99% dos bots de spam são apenas scripts/programas executados por spammers que não são realmente sofisticados e que baixam e executam (eles, em geral, não são gigantes da programação).

Na verdade, às vezes, essas strings de ‘HTTP_USER_AGENT’ são realmente óbvias. Claro, teoricamente tudo é possível de ser derrotado, mas na prática, em nossos fóruns ao longo das décadas, temos muito poucos problemas de spam (em comparação com outros fóruns) porque atribuímos pontuação a endereços de e-mail com base em vários critérios e rejeitamos os óbvios (não os moderamos; quando a pontuação está acima de um certo limiar {nível de confiança}, simplesmente rejeitamos o registro, porque quem quer moderar um grande banco de dados de spam? Ninguém.). Além disso, não usamos Akismet por uma série de razões (há muitos e muitos anos), mas não quero me desviar do assunto sobre esse tópico

No entanto, em nossos antigos fóruns vB, tudo isso é feito facilmente em um plugin PHP, que é muito fácil de modificar (e lutar a boa luta) em tempo real. Em certo momento, usamos um Classificador Bayesiano, mas encontrei maneiras melhores ao longo dos anos. Também já usamos cookies e permitimos apenas registros de clientes que aceitaram a política de cookies (e permitem cookies, conforme nossa política de privacidade), e, claro, podemos ler um cookie após um usuário se registrar e usá-lo para detectar múltiplos logins. Isso, francamente, para a maioria dos spambots. Não é ciência de foguete e, francamente, geralmente não é “baseado apenas em endereço de IP”.

Além disso, FYI, a maioria dos bots de spam não aceita cookies de forma alguma, então apenas bloquear clientes que não permitem cookies ajuda muito.

Não quero parecer muito “esperto”, mas faço isso há mais de duas décadas, tenho artigos acadêmicos publicados sobre o tema, lutei em guerras cibernéticas em tempo real nesta arena e tenho mais de 20 anos de experiência em defesa cibernética em tempo real e técnicas antispam, então sei do que estou falando; portanto, por favor, não seja pesado e bloqueie minha resposta se esse tipo de funcionalidade não estiver disponível, planejado ou facilmente codificado no aplicativo Discourse, obrigado.

Vamos ser inclusivos com todos, especialmente especialistas dispostos a ajudar os usuários.

Um abraço.

… 30 segundos depois …