système anti-flood : un petit topo
14 messages
• Page 1 sur 1
- psychoreflex
- WRInaute passionné
- Messages: 1123
- Inscription: 10 Juil 2005
système anti-flood : un petit topo
le Sam Déc 10, 2005 21:34
Bonjour,
Suite à ce post http://www.webrankinfo.com/forums/viewtopic_41759.htm
sur le thème de la création d'un espace membre, il ressort que le plus important semble être la lutte anti flood (du moins c'est très important).
Comme je n'ai encore jamais développé cela, je viens vous poser quelques questions :
- Un système de confirmation d'inscription par email ne contribue t-il pas déjà, au moins un peu, à réduire le risque d'inscriptions répétées ?
- Ormis l'utilisation de génération d'images aléatoires représentant des chiffres et des lettres, via la librairie GD, y'a t'il d'autres systèmes valables ?
- Où étiez-vous hier soir à 00h12 ?
Merci pour vos réponses
Suite à ce post http://www.webrankinfo.com/forums/viewtopic_41759.htm
sur le thème de la création d'un espace membre, il ressort que le plus important semble être la lutte anti flood (du moins c'est très important).
Comme je n'ai encore jamais développé cela, je viens vous poser quelques questions :
- Un système de confirmation d'inscription par email ne contribue t-il pas déjà, au moins un peu, à réduire le risque d'inscriptions répétées ?
- Ormis l'utilisation de génération d'images aléatoires représentant des chiffres et des lettres, via la librairie GD, y'a t'il d'autres systèmes valables ?
- Où étiez-vous hier soir à 00h12 ?
Merci pour vos réponses
- dmathieu
- Modérateur
- Messages: 7244
- Inscription: 9 Jan 2004
le Sam Déc 10, 2005 21:45
1 - non, ca ne le réduit pas
mais ca peut te permettre de supprimer rapidement les inscriptions abusives
2 - oui, à condition de changer regulierement les caracteres de l'image générée (il n'est pas si compliqué que cela de faire un script qui lit les caracteres en fonction d'une image si les caracteres sont toujours les memes)
3 - devant le dernier épisode de la saison 4 de Alias.
mais ca peut te permettre de supprimer rapidement les inscriptions abusives
2 - oui, à condition de changer regulierement les caracteres de l'image générée (il n'est pas si compliqué que cela de faire un script qui lit les caracteres en fonction d'une image si les caracteres sont toujours les memes)
3 - devant le dernier épisode de la saison 4 de Alias.
- psychoreflex
- WRInaute passionné
- Messages: 1123
- Inscription: 10 Juil 2005
le Sam Déc 10, 2005 21:51
1 - non, ca ne le réduit pas
mais ca peut te permettre de supprimer rapidement les inscriptions abusives
Comment les robots font, par curiosité, pour contourner cela ?
2 - oui, à condition de changer regulierement les caracteres de l'image générée (il n'est pas si compliqué que cela de faire un script qui lit les caracteres en fonction d'une image si les caracteres sont toujours les memes)
Tu veux dire de nouveaux caractères qui changent dynamiquement à chaque chargement de page ? c'est à cela que je pensais. Ou que veux tu dire par changer les caractères ?
- dmathieu
- Modérateur
- Messages: 7244
- Inscription: 9 Jan 2004
le Sam Déc 10, 2005 21:53
pour le 1, ils ne valident pas les inscriptions, mais s'inscrivent quand meme.
tu a des membres inscrits, mais qui ne sont pas validés.
tu peut donc supprimer rapidement, suffit de supprimer tous les membres non validés.
pour le 2, imaginons que tu ait un script qui genere une image avec des chiffres aléatoires
mais, les chiffres sont toujours construits pareils.
un 4 sera toujours écrit pareil.
eh bien, il n'est pas bien difficile de construire un script qui reconnaitra ton 4.
tu a des membres inscrits, mais qui ne sont pas validés.
tu peut donc supprimer rapidement, suffit de supprimer tous les membres non validés.
pour le 2, imaginons que tu ait un script qui genere une image avec des chiffres aléatoires
mais, les chiffres sont toujours construits pareils.
un 4 sera toujours écrit pareil.
eh bien, il n'est pas bien difficile de construire un script qui reconnaitra ton 4.
- psychoreflex
- WRInaute passionné
- Messages: 1123
- Inscription: 10 Juil 2005
le Sam Déc 10, 2005 21:58
pour le 1, ils ne valident pas les inscriptions, mais s'inscrivent quand meme.
tu a des membres inscrits, mais qui ne sont pas validés.
tu peut donc supprimer rapidement, suffit de supprimer tous les membres non validés.
Donc, concrètement, le gars qui balance son robot va peut être remplir la table "compte_en_attente_de_validation" de milliers d'inscriptions, mais il ne pourra pas agir avec, sauf à valider manuellement les emails de confirmation.
Déjà c'est raté pour sa magouille non ?
eh bien, il n'est pas bien difficile de construire un script qui reconnaitra ton 4.
Comment un robot peut il reconnaitre/voir une image sans que celle-ci n'ait de paramètre concret tels qu'une variable ?
Dernière édition par psychoreflex le Sam Déc 10, 2005 22:13, édité 1 fois.
- dmathieu
- Modérateur
- Messages: 7244
- Inscription: 9 Jan 2004
le Sam Déc 10, 2005 22:03
voila pour ton premier, tu a tout compris.
suffit que les membres en attente ne soient pas considérés comme inscrits, et supprimés disons, au bout de 24h, et c'est reglé
probleme quand meme : un mail envoyé à chaque inscription.
donc, j'ai envie de remplir la boite mail de mon voisin qui a fait pisser son chien sur mes tuyas, je m'inscris 500 fois sur ton site avec son mail.
pour le second, si, c'est faisable.
le principe, c'est que un chiffre ressemblera toujours à la meme chose. donc, il suffit de le reconnaitre (apparemment, c'est faisable, je n'ai jamais cherché)
et tu peut obtenir la valeur de la chaine.
le probleme est résolvable en utilisant une dizaine de polices différentes pour chaque lettre (la, pour reconnaitre un caractere, il va devoir le vouloir vraiment !!!)
suffit que les membres en attente ne soient pas considérés comme inscrits, et supprimés disons, au bout de 24h, et c'est reglé
probleme quand meme : un mail envoyé à chaque inscription.
donc, j'ai envie de remplir la boite mail de mon voisin qui a fait pisser son chien sur mes tuyas, je m'inscris 500 fois sur ton site avec son mail.
pour le second, si, c'est faisable.
le principe, c'est que un chiffre ressemblera toujours à la meme chose. donc, il suffit de le reconnaitre (apparemment, c'est faisable, je n'ai jamais cherché)
et tu peut obtenir la valeur de la chaine.
le probleme est résolvable en utilisant une dizaine de polices différentes pour chaque lettre (la, pour reconnaitre un caractere, il va devoir le vouloir vraiment !!!)
- psychoreflex
- WRInaute passionné
- Messages: 1123
- Inscription: 10 Juil 2005
le Sam Déc 10, 2005 22:11
donc, j'ai envie de remplir la boite mail de mon voisin qui a fait pisser son chien sur mes tuyas, je m'inscris 500 fois sur ton site avec son mail.
Bon et si je bloque l'inscription avec deux fois le même email, le gars n'a plus qu'à agresser le chien non ?
le principe, c'est que un chiffre ressemblera toujours à la meme chose. donc, il suffit de le reconnaitre (apparemment, c'est faisable, je n'ai jamais cherché)
Oui effectivement, j'ai lu cela, je voudrais bien comprendre comment.
On peut aussi poser une question, du style quelle est la couleur du ciel.
Mais là au bout d'un moment le gars doit avoir vite fait de répertorier manuellement toutes les questions du script... Si il n'a que cela à faire.
-
cybervince - WRInaute impliqué
- Messages: 880
- Inscription: 1 Aoû 2004
le Sam Déc 10, 2005 22:23
psychoreflex a écrit:Donc, concrètement, le gars qui balance son robot va peut être remplir la table "compte_en_attente_de_validation" de milliers d'inscriptions, mais il ne pourra pas agir avec, sauf à valider manuellement les emails de confirmation.
Déjà c'est raté pour sa magouille non ?
1) C'est techniquement faisable (si l'email donné est valide) d'avoir un robot qui a réception du-dit mail, va le parser, y trouver une url (notamment l'url de validation), et ouvrir cette url qui aura pour but de valider l'inscription.
Je ne suis pas capable de développer ca, mais pour quelqu'un qui connait bien, c'est easylove.
2) Le principe de l'image qui contient du texte à recopier, c'est une sécurité interressante, car je vois pas comment l'outre passer.
3) Sous ma couette (j'allais me relever juste après)
- psychoreflex
- WRInaute passionné
- Messages: 1123
- Inscription: 10 Juil 2005
le Sam Déc 10, 2005 22:29
1) C'est techniquement faisable (si l'email donné est valide) d'avoir un robot qui a réception du-dit mail, va le parser, y trouver une url (notamment l'url de validation), et ouvrir cette url qui aura pour but de valider l'inscription.
Je ne suis pas capable de développer ca, mais pour quelqu'un qui connait bien, c'est easylove.
Okay mais si comme je le dis juste au dessus, je bloque l'inscription si deux emails identiques sont utilisés pour s'inscrire ? Le gars peut faire quoi ? Créer des faux emails à la volée sur des boites fictives ou réelles et les parser et les revalider?
Bon, et si en plus je bloque deux inscriptions consécutives avec la même ip. Il commence à s'énerver ou pas ?
- psychoreflex
- WRInaute passionné
- Messages: 1123
- Inscription: 10 Juil 2005
le Sam Déc 10, 2005 22:38
Voilà une réponse qui gagnerait à être détaillée.
Pourrais-tu, détailler ce que sont un turing code et un anti flood ip ?
En précisant pour les trois points, si ce n'est pas trop demander, leurs rôles respectifs pour empêcher le flood.
Aussi :
Personnes n' a dit si le fait de bloquer une même adresse email pour deux tentatives d'inscription ne mettait pas fin au problème ou du moins le compliquait considérablement.
Pourrais-tu, détailler ce que sont un turing code et un anti flood ip ?
En précisant pour les trois points, si ce n'est pas trop demander, leurs rôles respectifs pour empêcher le flood.
Aussi :
Personnes n' a dit si le fait de bloquer une même adresse email pour deux tentatives d'inscription ne mettait pas fin au problème ou du moins le compliquait considérablement.
-
Leonick - WRInaute accro
- Messages: 19599
- Inscription: 8 Aoû 2004
le Dim Déc 11, 2005 11:57
cybervince a écrit:Le principe de l'image qui contient du texte à recopier, c'est une sécurité interressante, car je vois pas comment l'outre passer.
Visiblement, cela semble faisable, voir http://sam.zoy.org/pwntcha/
14 messages
• Page 1 sur 1
Lectures recommandées sur ce thème :
- mettre un système anti flood sur un forum
- Flood anti recherche
- Anti flood, se servir des cookies, ip, machine... ?
- [script] Anti Flood, être notifié quand quelqu'un abuse sur votre site
- Système anti-leech en opensource : cherche développeurs
- Système anti-spam (captcha) avec des mots
- Petit topo de l'évènement AdSense du 14 octobre
- robots.txt ... c'est possible d'avoir un tit topo vite fait?
- Avis pour le site musical du groupe Anti-D : anti-d.fr
- script anti-spam robots et anti-pirates...
- La valse des rachats de sociétés par Google en mai/juin 2007 - 06-06-2007
- Google Pack s'enrichit de 2 nouveaux logiciels gratuits - 28-03-2007
- Google ouvre un blog sur la sécurité informatique en ligne - 23-05-2007
- Archive.org n'indexe plus rien depuis le 22 août 2008 ? - 19-11-2009
- Présentation de l'indexation Google - Googlebot, le robot de Google - 05-09-2008
- Le système de crawl de Google en 2008 - 20-08-2008
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
Contact
Confidentialité