Ce serait bien d’avoir un moyen d’ajouter des adresses e-mail bloquées avec des caractères génériques. Par exemple, lorsqu’un spammeur utilise la technique des points de Gmail.
Sont toutes la même adresse e-mail ; les spammeurs peuvent ainsi utiliser une seule adresse Gmail pour créer un nombre illimité de comptes facilement.
Bloquer une adresse avec des caractères génériques comme ci-dessous me semble être une bonne solution : e*x*a*m*p*l*e*@gmail.com
Je ne pense pas nécessairement que toutes les inscriptions utilisant ces variantes d’adresse Gmail devraient être bloquées, mais il serait utile que, si une adresse Gmail est bloquée, toutes ses variantes le soient aussi, ou que nous puissions ajouter manuellement un motif générique Gmail à la liste noire des e-mails.
Constates-tu un problème réel et précis ou s’agit-il simplement d’une théorie ? Si c’est un problème précis, peux-tu partager les adresses e-mail précises des spammeurs ?
Oui, c’est un vrai problème que je rencontre. Des spammeurs créent régulièrement des dizaines de milliers de comptes à partir d’un seul compte Gmail en utilisant la méthode du point et un pool d’adresses IP suffisant.
Je constate uniquement l’utilisation de l’astuce du point, mais je ne suis pas certain à 100 % que la méthode avec le signe + fonctionne également. La dernière fois que j’ai vérifié, il était possible de s’inscrire avec des adresses e-mail contenant le caractère +, donc cette astuce devrait aussi fonctionner.
Peut générer 16 777 216 adresses e-mail uniques uniquement avec la méthode du point, et pratiquement une infinité avec la méthode du signe +. Cela rend le processus extrêmement efficace pour les spammeurs. La mise sur liste noire du domaine n’est pas viable puisque c’est Gmail.
Vous pouvez consulter un générateur ici (il devient lent au-delà de 8 000 combinaisons) : Redirecting...
Si cela avait été réellement implémenté avec une approche de type wildcard (au lieu d’être géré automatiquement par Discourse), vous voudriez probablement être beaucoup plus précis que e*x*a*m*p*l*e*@gmail.com. Agir ainsi pourrait entraîner le blocage de personnes innocentes, surtout si l’adresse e-mail du spammeur est relativement courte. Rechercher spécifiquement . et + serait probablement beaucoup plus sûr.
Merci pour l’info concernant ce paramètre levenshtein_distance_spammer_emails. Je ne l’avais jamais vu ni modifié auparavant – il est réglé sur la valeur par défaut de 2.
Je ne comprends pas votre raisonnement mathématique. Vous ne pouvez ajouter qu’un seul point entre les caractères, donc chaque adresse de N caractères ne convient qu’à 2*N adresses. Vous pourriez probablement avoir un plugin qui enregistre ou compare l’adresse sans points et interdit les adresses avec +.
@pfaffman - Je me basais simplement sur les chiffres fournis par Redirecting..., selon lesquels pour chaque caractère supplémentaire au-delà de 2, le nombre d’adresses est doublé (bien que cela se fige vers 8 000).
Je pense que 2*n, si je comprends bien ce que vous voulez dire (c’est-à-dire qu’une adresse de 26 caractères aurait 52 combinaisons ?), serait trop faible. En effet, on peut ajouter plusieurs points tout au long de l’adresse.
Par exemple : constantinehamilton1337x@gmail.com con.stantinehamilton1337.x@gmail.com co.nst.antineh.amilton1.3.37x@gmail.com constantineh.a.m.ilto.n13.37x@gmail.com c.o.nsta.ntinehamil.ton1337x@gmail.com
Quoi qu’il en soit, quelle que soit la valeur exacte, c’est énorme. Oui, votre solution suggérée a du sens !
Ouais. Je ne faisais pas les calculs correctement. Je n’autorisais qu’un seul point. J’ai failli connaître cette astuce autrefois, mais pas ce matin.
Mais un plugin qui enregistrait une adresse et ajoutait une version gratuite de l’adresse comme adresse supplémentaire ferait ce que vous voulez et ne serait pas si difficile à réaliser.
Je pense que la mise en œuvre précédente que vous avez créée pourrait toujours être très utile en tant que fonctionnalité anti-spam supplémentaire. Elle a fonctionné de manière incroyable pendant la courte période où elle était disponible et activée (désactivée par défaut).
Sinon, les spammeurs peuvent toujours créer des comptes en masse avec une seule adresse Gmail avant qu’un modérateur ou un administrateur ne s’en aperçoive. Par exemple, créer des comptes sans poster immédiatement.
Les administrateurs et modérateurs devront trouver et ouvrir manuellement chaque compte individuel pour le bannir ou le supprimer. Cela peut être assez fastidieux, surtout lorsqu’un spammeur peut créer des centaines, voire des milliers de comptes avec une seule adresse Gmail avant d’être banni. De plus, la recherche par adresse e-mail est difficile, par exemple j.ohan.2.1@gmail et jo.ha.n21@gmail.
S’ils ne sont pas traqués manuellement, les spammeurs conservent un large réservoir de comptes pour jouer à « Whac-A-Mole », tout en n’ayant besoin que d’une seule adresse Gmail pour les obtenir.
@sam Juste pour faire un point après davantage de tests sur le terrain, je pense que la mise en œuvre précédente qui a été annulée est nettement plus efficace contre les spammeurs motivés. Je reçois toujours un nombre important d’inscriptions utilisant ces astuces de permutation de Gmail.
Je suis très reconnaissant que la protection actuelle ait été mise en place, car elle est très efficace. Cependant, je pense qu’il y a une faille à permettre la création d’un nombre illimité de comptes utilisant le même e-mail jusqu’à ce qu’ils soient spécifiquement remarqués et bannis manuellement. Cela représente une charge supplémentaire pour les modérateurs (qui ne peuvent pas voir les adresses e-mail des comptes par défaut, sauf si cette option est activée, je crois), surtout en l’absence d’outils de suppression en masse des comptes (par exemple, sélectionner plusieurs comptes dans la liste de recherche avec des cases à cocher et les bannir/supprimer tous). Cela signifie qu’un modérateur devra naviguer manuellement vers chaque compte individuel pour le supprimer/bannir. C’est particulièrement difficile lors de la recherche de comptes avec des adresses e-mail permutées.
Étant donné que la mise en œuvre précédente était optionnelle (désactivée par défaut), qu’elle avait déjà été développée et fonctionnait comme prévu, puis a été retirée, il semble vraiment dommage qu’elle ne soit plus disponible pour les communautés qui souhaiteraient l’utiliser pour une protection anti-spam supplémentaire contre les spammeurs motivés.
C’est pourquoi j’ai dit que certains caractères doivent être totalement interdits dans les adresses e-mail (facultativement). Il s’agit notamment des caractères permettant le sous-adressage, comme le signe plus, le point, le tiret, etc. Avec une expression rationnelle, vous pouvez également bloquer cela par service, par exemple : « aucune adresse e-mail se terminant par @gmail.com et contenant un signe plus n’est autorisée ». cc @sam
L’ancienne implémentation autorisait toujours le +addressing tout en maintenant un seul adresse canonique par compte (ce qui me semble probablement plus sûr).
Ainsi, vous pouviez être inscrit avec sam+discourse-meta@gmail.com, ce qui est pratique pour les règles Gmail internes que vous avez configurées. Mais cela aurait ensuite bloqué la création de nouveaux comptes depuis sam@gmail.com ou sam+1@gmail.com.
Je ne suis pas contre l’ajout d’une liste blanche, mais je pense que l’imposition des adresses canoniques est très utile dans le cas de Gmail et constitue un paramètre par défaut tout à fait raisonnable.
La sécurité n’est pas vraiment l’objectif ici. Le site en question nécessite une solution plus radicale en raison de l’ampleur du problème auquel il est confronté. Tant que c’est optionnel (ajoutez votre propre « regex de protection des e-mails »), cela me semble parfaitement sûr. Pour les sites qui en ont besoin, ils peuvent activer le mode Verrouillage Complet.
Nous avons actuellement des domaines d'e-mails bloqués.
Je suppose que nous pourrions ajouter des modèles d'e-mails bloqués.
Cependant, obtenir le bon regex est plutôt ennuyeux compte tenu de toutes les échappées nécessaires. Je m’inquiète de proposer ce genre d’options, car les chances que les gens obtiennent le bon regex et qu’il corresponde à l’intention sont très faibles. Ils doivent se souvenir d’échapper les points et les signes plus.
.*\+.*@gmail\.com
Nous pourrions, je suppose, utiliser un modèle simplifié non basé sur le regex qui ne fait qu’étendre * et ?.
Si l’ancienne implémentation était réintégrée en tant qu’option, je crois que cela résoudrait entièrement le problème lié à Gmail. Du moins dans mon cas. C’est, à mon avis, tout à fait idéal et cela ajoute suffisamment de coûts aux spammeurs pour rendre la lutte contre eux gérable. Cela ferait vraiment la différence entre nécessiter une modération intensive à temps plein 24h/24 et ne pas en avoir besoin.
J’ai bloqué plusieurs domaines qui autorisent des adresses similaires et qui utilisent la liste des domaines d’e-mail autorisés. Le problème est que les utilisateurs peuvent créer de nombreux comptes avant que l’un d’eux ne soit banni/bloqué (ce qui active le blocage des permutations de cette adresse Gmail pour les nouveaux comptes, mais les comptes existants restent inchangés). Cela représente une lourde charge pour la modération et rend le nettoyage de chaque compte individuel fastidieux.
Par exemple, j’ai eu un fil de discussion avec environ 200 réponses, utilisant un message par compte, tous créés avec la même adresse Gmail. De nombreux cas similaires. Ce sont des exemples où les comptes sont faciles à identifier, car les rechercher via les permutations de l’adresse Gmail d’origine est très difficile en alternative. Certains font de l’élevage de comptes en grand nombre à partir d’un petit nombre d’adresses Gmail et ne publient rien dessus pendant des mois.
Pour une solution basée sur le blocage par expression régulière, bloquer les signes + serait assez inoffensif, tandis que bloquer les points (.) risquerait d’empêcher un nombre significatif d’e-mails légitimes, par exemple john.smith@gmail.com. Bloquer les adresses contenant plus d’un point causerait probablement des dégâts collatéraux minimes, bien que cela permettrait toujours plusieurs permutations d’une adresse Gmail, mais beaucoup moins que dans le cas de 2 points ou plus.
À mon avis, l’ancienne implémentation est idéale et n’est pas déraisonnable à mettre en œuvre en tant que protection optionnelle ; la plupart des sites de réseaux sociaux populaires n’autorisent pas l’inscription avec plusieurs permutations Gmail en raison de l’exploitation intensive par les spammeurs.
@sam, je suis fermement convaincu que les sites devraient pouvoir implémenter ce niveau optionnel de verrouillage regex des e-mails si nécessaire. Sinon, nous irions à l’encontre de l’un des principes fondamentaux de Discourse, qui est d’être « sûr par défaut ».
Nous pouvons régler cela pour la prochaine version, mais je maintiens toujours ma mise en œuvre initiale : la normalisation est la solution la plus conviviale pour les administrateurs de site. Vous cochez une case et, hop, le problème est résolu. Avec les expressions rationnelles, il faut apprendre leur syntaxe (ce qui vous prend 5 heures) et vous finissez avec une correction qui laisse passer des comptes spam, qui est hostile aux utilisateurs (pas de points, pas de signes plus) ou qui est un compromis.
Cela dit, bien sûr, nous pouvons intégrer le support des expressions rationnelles pour la prochaine version.
Bah, c’est vraiment simple : « pas d’e-mails autorisés avec un plus ou un point ». Ce qui est, il faut l’admettre, assez restrictif et, évidemment, nous ne voudrions pas que ce soit activé par défaut. Mais c’est comme pour la question du « bamwar » : il y aura toujours suffisamment de mauvais acteurs pour qu’il faille avoir le bouton de lancement nucléaire, même si vous ne voulez pas vous en servir.
C’est comme la guerre nucléaire. Une fois que les armes nucléaires sont sur la table, les options « conviviales » ne sont plus possibles ; il ne vous reste plus qu’à espérer que, la plupart du temps, vous n’aurez jamais besoin d’en arriver là.
Désolé pour ma réponse tardive !