|
Bas de page | |
---|---|
Auteur | Sujet : Bannir efficacement une personne |
Publicité | Posté le 26-11-2020 à 18:43:06 |
TotalRecall | Pour les inscriptions "non validées" plutôt que les supprimer à la main tu ne peux pas faire un script qui vire toutes les inscriptions non validées de plus de 48h (par exemple) ? Ca ne résout pas le pb de fond mais ça fait gagner du temps.
--------------- Réalisation amplis classe D / T Topic .Net - C# @ Prog |
TotalRecall |
Là on ne sait pas trop à qui on a affaire ni pourquoi, ni son niveau de motivation pour contourner les protections en place. Et effectivement les envois de mails en masse (surtout vers des vraies adresses de personnes qui n'ont rien demandé puisque tu disais que c'est le cas ?) c'est pas top niveau réputation... Message édité par TotalRecall le 27-11-2020 à 09:44:58 --------------- Réalisation amplis classe D / T Topic .Net - C# @ Prog |
rufo Pas me confondre avec Lycos! | Peut-être essayer une méthode fingerprint en détectant les extensions du navigateur si tes attaquants font ça manuellement. C'est sûr que si ce sont des bots, ça sert à rien.
--------------- Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta |
Euuuhhh |
Message édité par Euuuhhh le 28-11-2020 à 09:30:47 |
rufo Pas me confondre avec Lycos! | Quand t'as parlé de conf, je pensais que tu t'étais plutôt basé sur des trucs classiques comme l'OS, le user-agent, la résolution de l'écran (bref, des trucs facilement falsifiables)... Du reste, c'est ce que tu mets, tu ne parles pas que tu récupérais les plugins ou extensions de navigateur installées. --------------- Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta |
potemkin Optimisateur relativiste. | C'est certainement des ouvertures de compte automatisées (très simple de randomiser les user agent pour simuler des configs différentes à chaque essai), bref ce type de détection n'est pas assez fiable pour y mettre une logique de sécurité derrière, tout au plus adapter le comportement de ton site pour les vrais utilisateurs.
Message cité 1 fois Message édité par potemkin le 13-12-2020 à 15:24:00 |
Publicité | Posté le 13-12-2020 à 15:06:16 |
rufo Pas me confondre avec Lycos! | Franchement, les infos du compte passés en GET, oui, c'est pas une bonne pratique surtout avec le coup de la reconstruction d'un formulaire derrière, clairement
--------------- Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta |
Euuuhhh |
|
TotalRecall | Euh, l'exemple 1 avec tout en GET et rien dans la base je trouve ça infâme, pour des tas de raison (url dégueulasse, très limité en volume de donnée manipulable, maintenance horrible, risque de foirer les caractères spéciaux, porte ouverte aux injections et aux bidouilles même par un utilisateur legit, etc). L'exemple 2 avec le fait de créer les nouveaux utilisateurs dans une table distincte jusqu'à la finalisation, à la limite pourquoi pas si on veut bien isoler les choses. Mais dans tous les cas vu que tu n'apportes pas le moindre argument concret pour défendre ta position et vu l'agressivité dont tu fais preuve de façon purement gratuite envers quelqu'un que tu ne connais probablement même pas, je pense qu'on va laisser la modération juger de la forme de ton post, à défaut d'avoir un fond très intéressant. Message édité par TotalRecall le 16-12-2020 à 11:34:15 --------------- Réalisation amplis classe D / T Topic .Net - C# @ Prog |
Modération | Posté le 16-12-2020 à 11:52:53
|
potemkin Optimisateur relativiste. |
L'exemple 1 est foireux je te l'accorde, je l'ai ajouté après l'ex 2 en voulant rajouter une version simplifiée. Enfin, foireux dans le sens où il ne peut exister seul et nécessite une info intermédiaire entre la demande de création de compte et l'activation. Et puisque ça implique de conserver de la donnée, on revient sur la table intermédiaire (quasi-équivalent déporté de ce que tu fais déjà sur la table principale). Et donc en effet le lien de l'email ne contiendrait qu'un token/hash/id/whatever. Et je le redis car rencontré en Prod dans ma boite : les liens présents dans les emails peuvent être parsés par des bots, d'où le besoin (dans ma proposition) d'une page tampon avec un bouton de validation. Table qui + est auto-gérée (via les TTL). Je trouve dommage la posture "ça marche comme ça depuis X mois/années/siècles donc aucune raison de changer". Il y a 1001 façons d'obtenir un même résultat, tous ne sont évidemment pas égaux. "même avec le captcha google des comptes ont été créés" c'est pour ça que je questionnais la techno de captcha utilisée. Si trop datée, il est très probable que des bots sachant la bypass, rendant la sécurité inutile. Avoir une BDD "saine" est de bon goût, si ce n'est pas pour la place (négligeable) que prennent les données, au moins pour l'exploitation que tu peux en faire. Tu parles de 500k inscrits, mais combien d'utilisateurs humains ? 499k? 200k? 1k? Impossible à savoir, sauf à croiser avec une donnée arbitraire comme l'activité (et encore, c'est toujours biaisé). Ta mécanique de nettoyage après X temps d'inactivité est une chose, mais qui répond à un autre besoin, ou est justement une conséquence d'une BDD ayant l'insertion facile A la question "comment bannir efficacement un user" je répondais simplement par une autre question : "qu'est-ce qui t'a amené dans cette situation ?". Pour moi clairement la trop grande souplesse de création de compte. Bref, tu as eu une proposition qui répond à ton problème, libre à toi d'en chercher une autre, ou ne rien changer Message cité 1 fois Message édité par potemkin le 16-12-2020 à 13:02:28 |
potemkin Optimisateur relativiste. |
|
Euuuhhh |
Ta manière de faire je n'en veux pas pour la simple et bonne raison qu'elle ne m'apportera rien sauf gagner 0.0000001s d’exécution de page et me faire perdre des dizaines d'heures de travail avec des bugs potentiels. Mes sites Internet sont stables, ce n'est pas mon activité principale, alors je n'ai pas besoin de faire plus ni de me créer des potentiels bugs pour que dal. Je me passe des explications sur pourquoi je ne souhaite pas faire cela pour la structure de mes sites Internet, les calculs, etc. car le sujet de ce topic n'est pas l'optimisation de mes sites internet ni comment ils sont construits. Au niveau sécurité, je pense que tout a été dit. La création de compte était manuelle, j'ai changé le captcha pour un plus performant, le mec à compris qu'il y avait quelqu'un derrière et il a arrêté. Message édité par Euuuhhh le 17-12-2020 à 13:43:02 |