Почему бы ему не использовать это? Я не понимаю. Это решает проблему его атаки.
В таком случае, возможно, лучшее место для этого — Marketplace?
Лучше, чтобы сломал это сторонний разработчик, чем «официальный» плагин?
Это никогда не станет официальным плагином, всего лишь три строки в моём аккаунте GitHub, если Джефф сочтёт, что это нужно уже сегодня.
Это ломает вход по электронной почте для множества легитимных аккаунтов, включая мой собственный аккаунт Gmail.
Да, но я не думаю, что вы используете его сайт.
Определённое число жертв среди мирного населения допустимо в условиях войны. Так что если 2% пользователей не могут зарегистрироваться, когда на вас обрушиваются тысячи поддельных писем с псевдонимными адресами каждый день? Это похоже на режим Cloudflare «Я под атакой». Некоторые легитимные пользователи не смогут войти. Такова цена за более строгую безопасность.
Ваш аргумент сводится к тому, что режим Cloudflare «Я под атакой» не идеален, поэтому его не должно существовать 
В любом случае, мне нужно увидеть ещё два легитимных сообщения о том, что это проблема в крупном масштабе, прежде чем предпринимать какие-либо действия.
Прошу прощения, если я упустил что-то очевидное, но не было бы проще добавить reCAPTCHA на экран регистрации?
Обычно это люди-спаммеры. Сейчас их гораздо больше, чем в 2010 году. Капчи бесполезны против человеческого противника.
1 лайк
Хм… Я думал, что такая регистрация с использованием «точки» и «плюса» в Gmail в основном используется ботами…
3 лайка
Многие настоящие люди используют sharklasers и подобные сервисы (которые используют это) для регистрации на нашем сайте, так как не хотят, чтобы их имя пользователя было связано с их реальной личностью. Это зависит от конкретной ситуации.
OP может установить требование времени чтения в 15 минут для публикации, а первые 5 постов должны быть одобрены сотрудниками, у которых нет прав на редактирование, и его проблема, я бы поставил, исчезнет немедленно.
1 лайк
Одно из того, что я бы точно хотел здесь подтвердить, — это наличие разумных ограничений на скорость регистрации аккаунтов.
Один IP-адрес должен иметь возможность регистрировать не более N аккаунтов в день. Однако нам потребуется какое-то обходное решение или настройка сайта для случаев, когда NAT приводит к тому, что множество пользователей используют один IP-адрес.
Я предпочитаю, чтобы для Google точка . нормализовалась, однако +что-то оставалась как есть. Поэтому, если вы собираетесь это делать, позвольте администраторам выбирать, что они хотят.
1 лайк
Это уже так… проблема в том, что это Моссад. У них есть огромное количество IP-адресов, которые они могут использовать.
1 лайк
Я вижу ограничители скорости для:
- входа по электронной почте в час
- отправки письма с подтверждением активации
- повторной отправки письма с подтверждением активации
- списка методов двухфакторной аутентификации
- включения TOTP
- входа администратора
Специфических ограничений скорости для создания учётной записи не обнаружено, кроме стандартной встроенной защиты от злоупотреблений по IP-адресу.
Интересно, может ли @markersocial установить Data Explorer и вывести список IP-адресов регистрации для «болота» зарегистрировавшихся пользователей. Мне нужно точно знать, приходят ли они с 100 разных IP-адресов или же с одного.
2 лайка
Я бы согласился, но у Google есть эта проблема. По крайней мере, в университете, где я работал, нельзя было зарегистрировать класс для Gmail, потому что университет имеет весь доступ через один NAT.
Я подозреваю, что белый список NAT решит большинство реальных проблем, так как, вероятно, можно предсказать, откуда приходят легитимные пользователи.
По умолчанию установить небольшое (или настраиваемое) количество IP-адресов в день кажется мне вполне безопасным.
@sam — Касательно IP-адресов: подтверждаю, что я использую ограничение по IP при регистрации и входе, а также имею большой список заблокированных IP. Могу заверить вас, что дело не в том, что пользователи создают значительное количество аккаунтов с одних и тех же IP-адресов — я бы хотел, чтобы так и было, тогда их можно было бы заблокировать. Единственный способ блокировать их сейчас — это внести в чёрный список все регистрации через Gmail.
—
@codinghorror Существует легальный сервис, который предоставит вам доступ к xx,xxx,xxx уникальным IP-адресам за xxx долларов в месяц. Поэтому любой может легко получить множество IP-адресов, и не только Моссад 
. Есть много других легальных сервисов, предлагающих большие пулы IP-адресов, а также нелегальные сервисы аренды ботнетов.
6 лайков
Я бы точно обновился до последней версии, как минимум потому, что написание скриптов для этой «бонзы» станет гораздо более утомительным с учётом моих последних изменений в вызовах и ловушках.
Также, пожалуйста, регулярно обновляйте информацию здесь, чтобы мы могли узнавать больше.
Это всё ещё происходит прямо сейчас?
5 лайков
Отлично, спасибо @sam, и извините, что я еще не ответил по этому вопросу.
Да, по-прежнему кажется вполне возможным создавать множество аккаунтов с помощью этого приема (2.5.0.beta1).
Например, используя трюк с username+{случайнаястрока}@gmail.com, кто-то создал 748 аккаунта за последние 10 часов. У них уже есть тысячи аккаунтов, привязанных к этому одному адресу Gmail.
По сути, единственный способ, которым я могу удалить их из панели администратора, — это вручную переходить к каждому аккаунту и приостанавливать их работу и/или удалять. Это не очень эффективно, потому что этот человек может просто нажать кнопку и создать еще много аккаунтов. 
Кажется, у них практически безграничный пул IP-адресов, поэтому блокировка или ограничение по IP в данном случае бесполезны.
Кроме того, я по-прежнему регулярно получаю большое количество регистраций с использованием трюков с точкой и знаком плюс в адресах Gmail.
Всего наилучшего!
3 лайка
Я поддерживаю добавление настройки сайта @codinghorror, которая отключает поддержку дублирующихся аккаунтов Gmail. Технически это задача на 15–30 минут.
4 лайка
Спасибо, @sam — я отправил тебе сообщение в ЛС с дополнительной информацией, которая может оказаться полезной~
Мой многолетний опыт показывает, что большинство автоматических спам-ботов (не всех, но подавляющего большинства) используют одинаковую строку ‘HTTP_USER_AGENT’. Даже некоторые спам-боты, способные подделывать IP-адреса, часто используют ту же строку ‘HTTP_USER_AGENT’ (или такую фальшивую, что её легко обнаружить).
Причина в том, что большинство спамеров и спам-ботов просто скачивают какое-нибудь спам-ПО и запускают его, не особо разбираясь, что делают. Да, конечно, есть исключения, но 99+ % спам-ботов — это просто скрипты/программы, запускаемые не очень продвинутыми спамерами, которые скачивают и запускают их (в целом они не являются гениями программирования).
На самом деле, иногда эти строки ‘HTTP_USER_AGENT’ настолько очевидны, что их легко заметить. Конечно, теоретически можно обойти любую защиту, но на практике на наших форумах за десятилетия у нас было очень мало проблем со спамом (по сравнению с другими форумами), потому что мы оцениваем электронные адреса по различным критериям и отклоняем очевидные случаи (мы не модерируем их: если оценка превышает определённый порог {уровень уверенности}, мы просто отклоняем регистрацию, ведь кто хочет модериовать огромную базу спама? Никто.). Кроме того, мы уже много лет не используем Akismet по ряду причин, но я не хочу отклоняться от темы 
Однако на наших старых форумах vB всё это легко реализуется через PHP-плагин, который очень легко модифицировать (и вести борьбу со спамом) в реальном времени. Когда-то мы использовали байесовский классификатор, но со временем нашли более эффективные методы. Мы также использовали куки и разрешали регистрацию только клиентам, принявшим политику использования куки (и разрешающим куки в соответствии с нашей политикой конфиденциальности). Конечно, после регистрации пользователя мы можем прочитать куки и использовать их для обнаружения множественных входов. Честно говоря, это останавливает большинство спам-ботов. Это не ракетостроение, и, честно говоря, защита обычно не строится «только на основе IP-адресов».
Кроме того, для информации: большинство спам-ботов вообще не принимают куки, поэтому блокировка клиентов, не разрешающих куки, очень помогает.
Не хочу казаться слишком «умным», но я занимаюсь этим более двух десятилетий, опубликовал академические статьи на эту тему, вёл реальные кибервойны в этой области и имею более 20 лет опыта в области киберзащиты в реальном времени и методов борьбы со спамом, так что я точно знаю, о чём говорю. Поэтому, пожалуйста, не будьте слишком строги и не блокируйте мой ответ, если подобная функциональность недоступна, не планируется или её сложно реализовать в приложении Discourse, спасибо.
Давайте будем инклюзивными ко всем, особенно к экспертам, готовым помогать пользователям.
С уважением.
2 лайка
… через 30 секунд …