Protecting against gmail dot trick in Discourse

codinghorror · 10. April 2020 um 17:59

[quote=“markersocial, Beitrag: 56, Thema: 22627”]
Zum Beispiel hat jemand mit dem Trick „Benutzername+{randomstring}@gmail.com

itsbhanusharma · 10. April 2020 um 19:14

Aber einige Benutzer (einschließlich mir) nutzen das Pluszeichen, um E-Mails in ihrem E-Mail-Client tatsächlich zu sortieren.

codinghorror · 10. April 2020 um 19:27

Keine Sorge, dies ist standardmäßig nicht aktiviert, sondern eher ein „Angriffs-Notfallmodus“ über die Seiteneinstellung.

markersocial · 10. April 2020 um 20:42

@neounix Legend. Danke für die Tipps, sehr geschätzt – du hast mich auf eine Reise gegen Spam losgeschickt. Ich habe Cloudflare vorübergehend in den „Ich bin unter Beschuss“-Modus versetzt (was deren Registrierungen gestoppt hat – sie legten alle 1–2 Minuten ein neues Konto an) und die Cloudflare-Firewall-Protokolle auf einige der verwendeten IPs überprüft. Dabei stellte sich heraus, dass jeder Besucher herausgefordert bzw. protokolliert wurde. Tatsächlich nutzten sie identische User-Agents.

Ich habe eine Firewall-Regel hinzugefügt, um Nutzer mit diesem User-Agent herauszufordern, und den „Ich bin unter Beschuss“-Modus bei CF deaktiviert. Ich glaube nicht, dass viele Unbeteiligte dadurch herausgefordert wurden, und es hat deren Spam-Registrierungen komplett gestoppt.

Anschließend habe ich die Funktion zum Blockieren von AS-Nummern (ASN) entdeckt, die Cloudflare bietet, und weitere Firewall-Regeln eingerichtet, um einen erheblichen Teil dieser Adressen zu blockieren, basierend auf den Protokollen der User-Agent-Blockierung. Es gibt Umgehungsmöglichkeiten dafür, das ist mir sicher bewusst, aber das bedeutet zusätzliche Ressourcenkosten und Aufwand für sie.

@codinghorror Ich stimme dir zu, dass Captchas hilfreich wären. Ein gutes Hauptziel zur Spam-Prävention wäre, die allgemeinen Ressourcenkosten für Spammer zu erhöhen.

Captchas würden dazu beitragen. Etwa 2 US-Dollar pro tausend gelöste reCAPTCHAs (unter Verwendung einer Captcha-Lösungs-API wie https://anti-captcha.com). Hinzu kommen zusätzliche Komplexitäten, die ihre Bots bewältigen müssen.

Nebenbemerkung: Anti-Captcha bietet ein Browser-Plugin zum automatischen Lösen von Captchas an, das gut funktioniert und eine praktische Erleichterung darstellt.

E-Mail-Adressen sind normalerweise ebenfalls eine Ressourcenbarriere für die Massenerstellung von Konten. Das ist jedoch nicht der Fall, wenn ein einzelner Nutzer mit einer einzigen Gmail-Adresse praktisch unbegrenzt viele Konten erstellen kann. Die Kosten für 1.000 Gmail-Konten sind beträchtlich, weshalb Spammer oft auf weniger strenge Anbieter oder Catchall-Domains ausweichen. Dennoch entstehen ihnen Ressourcenkosten, und es ist einfacher, diese als Spam zu identifizieren.

Ich denke, es ist wirklich so: Mehr ist mehr. Keine einzelne Verteidigungsmethode wird stark genug sein. Es sind Schritte in die richtige Richtung, den Aufwand und die Ressourcen, die Spammer insgesamt benötigen, zu erhöhen. Das beste Szenario ist, dass es für Spammer mehr Aufwand bedeutet, Discourse-Foren zu spammen, als für Administratoren, dies zu blockieren und alles, was durchkommt, massenhaft zu entfernen.

@itsbhanusharma Ich mag es sehr, auch das Pluszeichen (+) nutzen zu können, aber genau deshalb können wir keine schönen Dinge haben, haha. Es wäre jedoch schön, die Option zu haben, dessen Nutzung zu blockieren, falls dies zur Bekämpfung von Spammern erforderlich ist.

codinghorror · 10. April 2020 um 20:54

Nachdem ich darüber nachgedacht habe, neige ich dazu, dir hier zuzustimmen. @sam, können wir diese Einstellung für die E-Mail-Sperre für nächste Woche priorisieren?

Mevo · 11. April 2020 um 15:14

[quote=“codinghorror, Beitrag: 61, Thema: 22627”]
Ich habe nicht das Gefühl, dass „Punkte und Pluszeichen zu verbieten

Stephen · 11. April 2020 um 15:17

Das klingt so, als hätten wir einen Schritt übersprungen.

Die erzwungene Nutzung der kanonischen E-Mail-Adresse ist problematisch, aber das Blockieren von mehr als einem Konto pro kanonischer E-Mail-Adresse standardmäßig ist durchaus angemessen.

Die meisten von uns haben mehr als eine E-Mail-Adresse, falls sie ein Testkonto benötigen. Wenn dies standardmäßig aktiviert ist, entsteht dort kein nennenswertes Problem, und wir müssen die Nutzer nicht erst nach einem Missbrauch darüber aufklären, wie sie diese Einstellung aktivieren können.

markersocial · 11. April 2020 um 16:45

Plus-Zeichen (+) in E-Mails können meiner Meinung nach bei fast allen E-Mail-Domänen ohne größere Probleme gleich behandelt werden.

Bei E-Mails wie sp.a.mmer.king@gmail.com oder s.pa.mmerking@gmail.com handelt es sich im Fall von Gmail um dieselbe E-Mail-Adresse. Bei anderen Anbietern kann dies jedoch anders sein, und beide Adressen könnten verschiedenen Nutzern zugeordnet sein.

–

Eine langfristig sinnvolle Umsetzung wäre meiner Ansicht nach eine Funktion ähnlich der Blacklist für E-Mail-Domänen.

Man könnte benutzerdefinierte Domänen hinzufügen, bei denen doppelte Registrierungen verhindert werden sollen. Anschließend ließe sich einzeln aktivieren oder deaktivieren, ob diese beiden Arten von Doppelregistrierungen blockiert werden sollen: also das Blockieren von E-Mails mit Plus-Tricks und das Blockieren von E-Mails mit Punkt-Tricks als separate Optionen.

Die registrierte E-Mail-Adresse wird dabei so gespeichert, wie sie vom Nutzer angegeben wurde (sowohl für den Login als auch für die Versandadresse), aber weitere Registrierungen, die als dieselbe Adresse erkannt werden, werden blockiert.

Eine weitere, etwas effektivere Möglichkeit wäre, mehrere Domänen in einem benutzerdefinierten Domäneneintrag zusammenzufassen, sodass sie wie dieselbe Domäne behandelt werden. Beispielsweise gmail.com und googlemail.com. So könnte verhindert werden, dass sich jemand zweimal registriert, etwa mit example@gmail.com und example@googlemail.com. Es gibt weitere Anbieter mit mehreren austauschbaren Domänen; einige Beispiele habe ich bereits an Sam gesendet. Dies könnte zusätzlichen Schutz bieten, doch das Hauptproblem bleibt die missbräuchliche Nutzung von Plus- und Punkt-Tricks bei Registrierungen.

–

Alternativ gäbe es eine potenziell einfachere Umsetzung: Wie oben beschrieben, aber mit zwei Optionen pro benutzerdefinierter E-Mail-Domäne, um alle Registrierungen mit Plus-Zeichen und/oder Punkten zu blockieren. Wenn sich ein Nutzer mit einer solchen Domäne unter Verwendung eines Plus-Zeichens oder Punkts registriert, erhält er eine Fehlermeldung mit der Aufforderung, die Punkte und/oder Plus-Zeichen aus seiner E-Mail-Adresse zu entfernen (gegebenenfalls automatisch) und es erneut zu versuchen. Dies ist nicht perfekt, aber dennoch sehr effektiv.

Stephen · 11. April 2020 um 17:12

Richtig, deshalb reduzieren wir auf die kanonische E-Mail-Adresse, um sicherzustellen, dass sie eindeutig ist. Das wurde oben bereits erläutert. Wir können die kanonische E-Mail-Adresse jedoch nicht als deren E-Mail-Adresse speichern, da dies nicht die von ihnen angegebene Adresse ist.

Domain-Blacklisten existieren bereits, aber wir können nicht einfach davon ausgehen, dass wir eine Adresse ablehnen sollten, nur weil ein Nutzer auch über eine googlemail- oder gmail-Adresse erreichbar ist. Daher beziehen wir uns auf eine kanonische „Master“-Adresse.

Es gibt heute Websites, auf denen Nutzer Plus-Adressierung und Punkte ganz legitim verwenden. Es geht nicht darum, legitime Praktiken zu behindern, sondern nur die unangemessenen Nebeneffekte einzudämmen, wie etwa zwei Benutzer für eine einzige kanonische Adresse.

markersocial · 11. April 2020 um 18:11

Wenn während des Registrierungsprozesses die E-Mail-Adresse ohne Punkt und Plus-Zeichen auf Client-Seite (ähnlich wie bei der Formularvalidierung) und mit Zustimmung bereitgestellt werden muss, wäre es in Ordnung, sie als Konto-E-Mail-Adresse zu speichern.

Nicht ideal oder perfekt, aber potenziell einfacher und in manchen Fällen ein lohnender Kompromiss, wenn die Wahl zwischen der Unannehmlichkeit für einige wenige Benutzer oder der Unannehmlichkeit für ein ganzes Forum durch Spam besteht.

Es gibt Gmail-Konten, bei denen die primäre kanonische E-Mail-Adresse Punkte enthält. Diese Benutzer wären am stärksten betroffen und verwirrt, wenn diese Punkte während der Registrierung zwangsweise entfernt würden.

Ich denke auch nicht, dass dies die beste Implementierung wäre, und es wäre definitiv keine benutzerfreundliche Standardoption.

Richtig, was ich meinte, ist eine Option, ähnlich wie die bereits vorhandene E-Mail-Domain-Blackliste, um festzulegen, welche E-Mail-Domains betroffen sein sollen, und welche Parameter verwendet werden sollen, um zu entscheiden, ob eine E-Mail-Adresse eindeutig/kanonisch ist, wie in diesem Thread diskutiert. Potenziell auch, welche Domains als derselbe Host betrachtet werden sollen, z. B. gmail/googlemail.

Bezüglich gmail und googlemail sind wir uns einig. Gleiches gilt für Punkte und Plus-Zeichen.

Im Wesentlichen: Die erste Registrierung zulassen, aber verhindern, dass der Benutzer mehrere Konten mit derselben E-Mail-Adresse erstellen kann. Oder zumindest innerhalb vernünftiger Grenzen minimieren.

john@googlemail.com registriert sich zuerst → akzeptiert
john@gmail.com registriert sich später → abgelehnt

matthew+{randomstring}@gmail.com registriert sich zuerst → akzeptiert
matthew@gmail.com registriert sich später → abgelehnt
matthew@googlemail.com registriert sich später → abgelehnt
m.att.he.w@gmail.com registriert sich später → abgelehnt
matthew+{randomstring}@gmail.com registriert sich später → abgelehnt
m.a.tt.ew+{randomstring}@googlemail.com registriert sich später → abgelehnt

Der Unterschied zwischen googlemail und gmail (und anderen Anbietern mit mehreren alternativen Domains) ist bei weitem weniger bedeutsam als die Probleme mit Punkten und Plus-Zeichen in E-Mail-Adressen. Die Behandlung dieser Fälle wäre jedoch wünschenswert.

Stephen · 11. April 2020 um 18:31

Das ist eine wirklich benutzerfeindliche Änderung und völlig unnötig. Der Grund, warum diese Funktionen überhaupt existieren, ist die Identifizierung der E-Mail-Quelle. Wenn ich mich mit der E-Mail-Adresse stephen+meta@gmail.com registriere, kann ich eine Regel konfigurieren, die es ermöglicht, jede an diese Adresse gesendete E-Mail zu kennzeichnen. Falls Meta kompromittiert wird und meine E-Mail-Adresse über diesen Alias Spam erhält, weiß ich nun, wo das Sicherheitsleck aufgetreten ist. Die Art und Weise, wie ich E-Mails nutze, zu beeinträchtigen, ist keine Lösung. Das Zurückführen meiner E-Mail-Adresse auf eine kanonische Version zum Vergleich erreicht dasselbe Ergebnis, ohne den Benutzer zu belästigen.

Richtig, und das ist mit dem Konzept einer kanonischen Adresse verknüpft. Wenn das Feature wie ursprünglich diskutiert umgesetzt würde, würden wir stark von der Möglichkeit profitieren, Domains zuzuordnen. Jede Permutation von Punkten und Pluszeichen sowie jede Domain-Variation würde mit der „einzigen wahren E-Mail

markersocial · 11. April 2020 um 19:56

[quote=“Stephen, Beitrag 71, Thema 22627”]
Das ist eine wirklich benutzerfeindliche und völlig unnötige Änderung. Der Grund, warum diese Funktionen überhaupt existieren, ist die Identifizierung der E-Mail-Quelle. Wenn ich mich mit der E-Mail-Adresse stephen+meta@gmail.com registriere, kann ich eine Regel konfigurieren, die es erlaubt, jede an diese Adresse gesendete E-Mail zu kennzeichnen. Falls „meta

Stephen · 11. April 2020 um 20:14

Könntest du ein Beispiel dafür nennen? Ich frage, weil die meisten Gmail-Nutzer den Trick mit den Punkten gar nicht kennen. Sie haben sich eine Adresse mit Punkten registriert, geben diese Version ihrer E-Mail-Adresse an alle weiter und wären sehr verwirrt, wenn ihnen gesagt würde, dass „ihre E-Mail-Adresse

markersocial · 11. April 2020 um 20:26

Klar, ich schicke dir jetzt per PN ein Beispiel, das ich auch an Sam gesendet habe. Ich bin mir nur nicht sicher, ob es eine gute Idee ist, das öffentlich in einem Thread mit diesem Titel zu posten, da anscheinend noch ziemlich viele Spammer davon nichts wissen – zum Glück.

Ja, stimmt, das wäre für normale Nutzer mit dieser unvollkommenen Lösung die größte Verwirrung.

codinghorror · 12. April 2020 um 03:58

Es gibt keine Möglichkeit, dass wir einen so komplizierten Ansatz wählen. Wir werden E-Mails nicht „normalisieren".

Entweder befinden Sie sich im E-Mail-Sperrmodus, der bestimmte problematische Zeichen in einer E-Mail-Adresse vollständig verbietet (pro fest codierter E-Mail-Domain, vielleicht), oder Sie befinden sich nicht darin.

Das ist alles. Boolean-Schalter. E-Mail-Sperrmodus, Ja/Nein?

sam · 14. April 2020 um 04:23

Per:

github.com/discourse/discourse

FEATURE: enforce_canonical_emails site setting

committed 04:16AM - 14 Apr 20 UTC

SamSaffron

+70 -8

The new `enforce_canonical_emails` site setting ensures that emails in the canon…ical form are unique. This mean that if `s.a.m+1@gmail.com` is registered `sam@gmail.com` will not be allowed. The commit contains a blanket "tag strip" (stripping everything after +) it also contains special handling of a "dot strip" for googlemail and gmail. The setting only impacts new registrations after `enforce_canonical_emails` The setting is default false so it will not impact any existing installs.

Dies ist nun abgeschlossen.

Verwenden Sie die Site-Einstellung enforce_canonical_emails (Standard: false), um diesen Schutz zu aktivieren.

Sobald dies aktiviert ist, verbieten wir doppelte Registrierungen für Personen, die den .-Trick bei googlemail.com und gmail.com sowie den +-Trick global nutzen.

Die Korrektur ist sehr sicher und hat ab Werk keine Auswirkungen, solange sie deaktiviert ist.

Ein Nebeneffekt der Implementierung ist, dass nach Aktivierung der Einstellung noch eine weitere doppelte Registrierung durchrutschen kann, da wir kanonische E-Mail-Adressen in der Tabelle der Benutzer-E-Mails nur speichern, wenn Sie die Einstellung aktivieren. Dies ist meiner Meinung nach völlig akzeptabel, da ich im Allgemeinen keine Fälle dieses spezifischen Missbrauchs bei den zahlreichen von uns gehosteten Sites finden konnte.

Stephen · 14. April 2020 um 04:57

Die Speicherung der kanonischen Form ist überhaupt problematisch. In welchem Format liegen sie vor?

sam · 14. April 2020 um 04:58

Die Spezifikation findet sich hier:

github.com/discourse/discourse

spec/jobs/user_email_spec.rb

6f9177e2e


      
          context "canonical emails" do
            it "correctly creates canonical emails" do
              expect(UserEmail.canonical('s.a.m+1@gmail.com')).to eq('sam@gmail.com')
              expect(UserEmail.canonical('sa.m+1@googlemail.com')).to eq('sam@googlemail.com')
              expect(UserEmail.canonical('sa.m+1722@sam.com')).to eq('sa.m@sam.com')
              expect(UserEmail.canonical('sa.m@sam.com')).to eq('sa.m@sam.com')
            end
          
            it "correctly bans non canonical emails" do
          
              email = UserEmail.create!(email: 'sam@sam.com', user_id: user.id)
              expect(email.canonical_email).to eq(nil)
          
              email = UserEmail.create!(email: 'sam+1@sam.com', user_id: user.id)
              expect(email.canonical_email).to eq(nil)
          
              SiteSetting.enforce_canonical_emails = true
          
              email = UserEmail.create!(email: 'Sam+5@sam.com', user_id: user.id)
              expect(email.canonical_email).to eq('sam@sam.com')

This file has been truncated. show original

Wenn die Site-Einstellung nicht aktiviert ist, passiert nichts – null, gar nichts.

neounix · 14. April 2020 um 05:08

[quote=“markersocial, Beitrag: 64, Thema: 22627”]
@neounix Legende. Danke für die Tipps, sehr geschätzt – du hast mich auf eine Reise zur Spam-Bekämpfung geschickt. Ich habe Cloudflare vorübergehend in den Modus „Ich werde angegriffen

sam · 16. April 2020 um 20:46

@codinghorror Meine Überlegung ist, dass diese Änderung sinnlos ist und ich sie einfach rückgängig machen sollte.

Keine unserer gehosteten Seiten verlangt danach oder nach extremen E-Mail-Blockierungsmodi. In der Praxis ist das alles kein Problem, da wir inaktive Konten ohnehin löschen und Profile auf Spam prüfen.

Spammer können einfach einen SMTP-Server betreiben, was einfacher ist als die Automatisierung von Gmail, und haben so Zugriff auf unendlich viele E-Mail-Adressen.

Außerdem wird die Adressierung in sehr vielen legitimen Fällen genutzt.

Das häufigste Problem bei Punkten in Gmail-Adressen ist nicht Spam, sondern Tippfehler bei E-Mails.

Ich unterstütze wohl nur eine Änderung im Kern: Die Blockliste für E-Mails sollte auch kanonische Adressen blockieren. Das wäre zumindest eine Verbesserung der E-Mail-Blockierfunktion und löst das Problem des ursprünglichen Beitrags (OP).

Beispiel: Wenn du Jane@gmail.com blockierst, werden auch j.ane+1@gmail.com usw. blockiert.

Alle anderen Änderungen können in Plugins umgesetzt werden.

Klingt das in Ordnung?

Thema		Antworten	Aufrufe
Suggestion: Wildcard Block Email Address Feature	33	4445	7. Dezember 2021
Blocked Canonical Gmails - Issue Support	13	1248	10. Juni 2021
Dealing with unwanted (and probably spam) accounts via SSO? Feature wordpress , sso , discourseconnect	36	8987	16. Oktober 2022
Need assistance with massive amounts of spam Support	14	1792	10. Juni 2023
Different password reset for wrong username/email Feature	65	28078	4. August 2023

Protecting against gmail dot trick in Discourse

Verwandte Themen