| |
|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
psychoreflex
WRInaute accro
Inscrit le: 10 Juil 2005
Messages: 1123
|
 Posté le : Sam Déc 10, 2005 22:34 Sujet du message: système anti-flood : un petit topo |
|
|
Bonjour,
Suite à ce post http://www.webrankinfo.com/forums/viewtopic_41759.htm
sur le thème de la création d'un espace membre, il ressort que le plus important semble être la lutte anti flood (du moins c'est très important).
Comme je n'ai encore jamais développé cela, je viens vous poser quelques questions :
- Un système de confirmation d'inscription par email ne contribue t-il pas déjà, au moins un peu, à réduire le risque d'inscriptions répétées ?
- Ormis l'utilisation de génération d'images aléatoires représentant des chiffres et des lettres, via la librairie GD, y'a t'il d'autres systèmes valables ?
- Où étiez-vous hier soir à 00h12 ?
Merci pour vos réponses |
|
| |
|
 |
Daktari
WRInaute passionné
Inscrit le: 10 Mai 2004
Messages: 621
Localisation: Belgique
|
| Posté le : Sam Déc 10, 2005 22:43 Sujet du message: système anti-flood : un petit topo |
|
|
1) un peu
2) je n'en sais rien
3) en train de poster sur WRI  |
|
| |
|
|
kazhar
WRInaute accro
Inscrit le: 09 Jan 2004
Messages: 6042
Localisation: Somewhere only I know
|
| Posté le : Sam Déc 10, 2005 22:45 Sujet du message: système anti-flood : un petit topo |
|
|
1 - non, ca ne le réduit pas
mais ca peut te permettre de supprimer rapidement les inscriptions abusives
2 - oui, à condition de changer regulierement les caracteres de l'image générée (il n'est pas si compliqué que cela de faire un script qui lit les caracteres en fonction d'une image si les caracteres sont toujours les memes)
3 - devant le dernier épisode de la saison 4 de Alias. |
|
| |
|
|
psychoreflex
WRInaute accro
Inscrit le: 10 Juil 2005
Messages: 1123
|
| Posté le : Sam Déc 10, 2005 22:51 Sujet du message: système anti-flood : un petit topo |
|
|
| Citation: |
1 - non, ca ne le réduit pas
mais ca peut te permettre de supprimer rapidement les inscriptions abusives |
Comment les robots font, par curiosité, pour contourner cela ?
| Citation: |
| 2 - oui, à condition de changer regulierement les caracteres de l'image générée (il n'est pas si compliqué que cela de faire un script qui lit les caracteres en fonction d'une image si les caracteres sont toujours les memes) |
Tu veux dire de nouveaux caractères qui changent dynamiquement à chaque chargement de page ? c'est à cela que je pensais. Ou que veux tu dire par changer les caractères ? |
|
| |
|
|
kazhar
WRInaute accro
Inscrit le: 09 Jan 2004
Messages: 6042
Localisation: Somewhere only I know
|
| Posté le : Sam Déc 10, 2005 22:53 Sujet du message: système anti-flood : un petit topo |
|
|
pour le 1, ils ne valident pas les inscriptions, mais s'inscrivent quand meme.
tu a des membres inscrits, mais qui ne sont pas validés.
tu peut donc supprimer rapidement, suffit de supprimer tous les membres non validés.
pour le 2, imaginons que tu ait un script qui genere une image avec des chiffres aléatoires
mais, les chiffres sont toujours construits pareils.
un 4 sera toujours écrit pareil.
eh bien, il n'est pas bien difficile de construire un script qui reconnaitra ton 4. |
|
| |
|
|
psychoreflex
WRInaute accro
Inscrit le: 10 Juil 2005
Messages: 1123
|
| Posté le : Sam Déc 10, 2005 22:58 Sujet du message: système anti-flood : un petit topo |
|
|
| Citation: |
pour le 1, ils ne valident pas les inscriptions, mais s'inscrivent quand meme.
tu a des membres inscrits, mais qui ne sont pas validés.
tu peut donc supprimer rapidement, suffit de supprimer tous les membres non validés. |
Donc, concrètement, le gars qui balance son robot va peut être remplir la table "compte_en_attente_de_validation" de milliers d'inscriptions, mais il ne pourra pas agir avec, sauf à valider manuellement les emails de confirmation.
Déjà c'est raté pour sa magouille non ?
| Citation: |
| eh bien, il n'est pas bien difficile de construire un script qui reconnaitra ton 4. |
Comment un robot peut il reconnaitre/voir une image sans que celle-ci n'ait de paramètre concret tels qu'une variable ?
Dernière édition par psychoreflex le Sam Déc 10, 2005 23:13; édité 1 fois |
|
| |
|
|
kazhar
WRInaute accro
Inscrit le: 09 Jan 2004
Messages: 6042
Localisation: Somewhere only I know
|
| Posté le : Sam Déc 10, 2005 23:03 Sujet du message: système anti-flood : un petit topo |
|
|
voila pour ton premier, tu a tout compris.
suffit que les membres en attente ne soient pas considérés comme inscrits, et supprimés disons, au bout de 24h, et c'est reglé
probleme quand meme : un mail envoyé à chaque inscription.
donc, j'ai envie de remplir la boite mail de mon voisin qui a fait pisser son chien sur mes tuyas, je m'inscris 500 fois sur ton site avec son mail.
pour le second, si, c'est faisable.
le principe, c'est que un chiffre ressemblera toujours à la meme chose. donc, il suffit de le reconnaitre (apparemment, c'est faisable, je n'ai jamais cherché)
et tu peut obtenir la valeur de la chaine.
le probleme est résolvable en utilisant une dizaine de polices différentes pour chaque lettre (la, pour reconnaitre un caractere, il va devoir le vouloir vraiment !!!) |
|
| |
|
|
psychoreflex
WRInaute accro
Inscrit le: 10 Juil 2005
Messages: 1123
|
| Posté le : Sam Déc 10, 2005 23:11 Sujet du message: système anti-flood : un petit topo |
|
|
| Citation: |
| donc, j'ai envie de remplir la boite mail de mon voisin qui a fait pisser son chien sur mes tuyas, je m'inscris 500 fois sur ton site avec son mail. |
Bon et si je bloque l'inscription avec deux fois le même email, le gars n'a plus qu'à agresser le chien non ?
| Citation: |
| le principe, c'est que un chiffre ressemblera toujours à la meme chose. donc, il suffit de le reconnaitre (apparemment, c'est faisable, je n'ai jamais cherché) |
Oui effectivement, j'ai lu cela, je voudrais bien comprendre comment.
On peut aussi poser une question, du style quelle est la couleur du ciel.
Mais là au bout d'un moment le gars doit avoir vite fait de répertorier manuellement toutes les questions du script... Si il n'a que cela à faire. |
|
| |
|
|
cybervince
WRInaute passionné
Inscrit le: 01 Aoû 2004
Messages: 869
Localisation: Montpellier
|
| Posté le : Sam Déc 10, 2005 23:23 Sujet du message: système anti-flood : un petit topo |
|
|
| psychoreflex a écrit: |
Donc, concrètement, le gars qui balance son robot va peut être remplir la table "compte_en_attente_de_validation" de milliers d'inscriptions, mais il ne pourra pas agir avec, sauf à valider manuellement les emails de confirmation.
Déjà c'est raté pour sa magouille non ? |
1) C'est techniquement faisable (si l'email donné est valide) d'avoir un robot qui a réception du-dit mail, va le parser, y trouver une url (notamment l'url de validation), et ouvrir cette url qui aura pour but de valider l'inscription.
Je ne suis pas capable de développer ca, mais pour quelqu'un qui connait bien, c'est easylove.
2) Le principe de l'image qui contient du texte à recopier, c'est une sécurité interressante, car je vois pas comment l'outre passer.
3) Sous ma couette (j'allais me relever juste après) |
|
| |
|
|
psychoreflex
WRInaute accro
Inscrit le: 10 Juil 2005
Messages: 1123
|
| Posté le : Sam Déc 10, 2005 23:29 Sujet du message: système anti-flood : un petit topo |
|
|
| Citation: |
1) C'est techniquement faisable (si l'email donné est valide) d'avoir un robot qui a réception du-dit mail, va le parser, y trouver une url (notamment l'url de validation), et ouvrir cette url qui aura pour but de valider l'inscription.
Je ne suis pas capable de développer ca, mais pour quelqu'un qui connait bien, c'est easylove. |
Okay mais si comme je le dis juste au dessus, je bloque l'inscription si deux emails identiques sont utilisés pour s'inscrire ? Le gars peut faire quoi ? Créer des faux emails à la volée sur des boites fictives ou réelles et les parser et les revalider?
Bon, et si en plus je bloque deux inscriptions consécutives avec la même ip. Il commence à s'énerver ou pas ? |
|
| |
|
|
fredsoft
WRInaute occasionnel
Inscrit le: 26 Jan 2003
Messages: 242
|
| Posté le : Sam Déc 10, 2005 23:35 Sujet du message: système anti-flood : un petit topo |
|
|
bonjour
il faut :
- un turing code
- un anti flood ip
- une confirmation |
|
| |
|
|
psychoreflex
WRInaute accro
Inscrit le: 10 Juil 2005
Messages: 1123
|
| Posté le : Sam Déc 10, 2005 23:38 Sujet du message: système anti-flood : un petit topo |
|
|
Voilà une réponse qui gagnerait à être détaillée.
Pourrais-tu, détailler ce que sont un turing code et un anti flood ip ?
En précisant pour les trois points, si ce n'est pas trop demander, leurs rôles respectifs pour empêcher le flood.
Aussi :
Personnes n' a dit si le fait de bloquer une même adresse email pour deux tentatives d'inscription ne mettait pas fin au problème ou du moins le compliquait considérablement. |
|
| |
|
|
Leonick
WRInaute accro
Inscrit le: 08 Aoû 2004
Messages: 8604
Localisation: Val de Marne
|
| Posté le : Dim Déc 11, 2005 12:57 Sujet du message: système anti-flood : un petit topo |
|
|
| cybervince a écrit: |
| Le principe de l'image qui contient du texte à recopier, c'est une sécurité interressante, car je vois pas comment l'outre passer. |
Visiblement, cela semble faisable, voir http://sam.zoy.org/pwntcha/ |
|
| |
|
|
kazhar
WRInaute accro
Inscrit le: 09 Jan 2004
Messages: 6042
Localisation: Somewhere only I know
|
| Posté le : Dim Déc 11, 2005 13:01 Sujet du message: système anti-flood : un petit topo |
|
|
| le truc des images, et il faut dire de quel animal il s'agit est pas idiote. |
|
| |
|
|
| |
|
|
|
|
Autres sujets de discussion :
Définitions :
|
|
