système anti-flood : un petit topo

WRInaute impliqué
Bonjour,

Suite à ce post https://www.webrankinfo.com/forum/t/conseils-pour-un-espace-membre-reussi.41759/
sur le thème de la création d'un espace membre, il ressort que le plus important semble être la lutte anti flood (du moins c'est très important).

Comme je n'ai encore jamais développé cela, je viens vous poser quelques questions :

- Un système de confirmation d'inscription par email ne contribue t-il pas déjà, au moins un peu, à réduire le risque d'inscriptions répétées ?

- Ormis l'utilisation de génération d'images aléatoires représentant des chiffres et des lettres, via la librairie GD, y'a t'il d'autres systèmes valables ?

- Où étiez-vous hier soir à 00h12 ?


Merci pour vos réponses
 
WRInaute accro
1 - non, ca ne le réduit pas
mais ca peut te permettre de supprimer rapidement les inscriptions abusives

2 - oui, à condition de changer regulierement les caracteres de l'image générée (il n'est pas si compliqué que cela de faire un script qui lit les caracteres en fonction d'une image si les caracteres sont toujours les memes)

3 - devant le dernier épisode de la saison 4 de Alias.
 
WRInaute impliqué
1 - non, ca ne le réduit pas
mais ca peut te permettre de supprimer rapidement les inscriptions abusives

Comment les robots font, par curiosité, pour contourner cela ?

2 - oui, à condition de changer regulierement les caracteres de l'image générée (il n'est pas si compliqué que cela de faire un script qui lit les caracteres en fonction d'une image si les caracteres sont toujours les memes)

Tu veux dire de nouveaux caractères qui changent dynamiquement à chaque chargement de page ? c'est à cela que je pensais. Ou que veux tu dire par changer les caractères ?
 
WRInaute accro
pour le 1, ils ne valident pas les inscriptions, mais s'inscrivent quand meme.
tu a des membres inscrits, mais qui ne sont pas validés.

tu peut donc supprimer rapidement, suffit de supprimer tous les membres non validés.

pour le 2, imaginons que tu ait un script qui genere une image avec des chiffres aléatoires
mais, les chiffres sont toujours construits pareils.
un 4 sera toujours écrit pareil.

eh bien, il n'est pas bien difficile de construire un script qui reconnaitra ton 4.
 
WRInaute impliqué
pour le 1, ils ne valident pas les inscriptions, mais s'inscrivent quand meme.
tu a des membres inscrits, mais qui ne sont pas validés.

tu peut donc supprimer rapidement, suffit de supprimer tous les membres non validés.

Donc, concrètement, le gars qui balance son robot va peut être remplir la table "compte_en_attente_de_validation" de milliers d'inscriptions, mais il ne pourra pas agir avec, sauf à valider manuellement les emails de confirmation.
Déjà c'est raté pour sa magouille non ?

eh bien, il n'est pas bien difficile de construire un script qui reconnaitra ton 4.
Comment un robot peut il reconnaitre/voir une image sans que celle-ci n'ait de paramètre concret tels qu'une variable ?
 
WRInaute accro
voila pour ton premier, tu a tout compris.
suffit que les membres en attente ne soient pas considérés comme inscrits, et supprimés disons, au bout de 24h, et c'est reglé

probleme quand meme : un mail envoyé à chaque inscription.
donc, j'ai envie de remplir la boite mail de mon voisin qui a fait pisser son chien sur mes tuyas, je m'inscris 500 fois sur ton site avec son mail.

pour le second, si, c'est faisable.
le principe, c'est que un chiffre ressemblera toujours à la meme chose. donc, il suffit de le reconnaitre (apparemment, c'est faisable, je n'ai jamais cherché)
et tu peut obtenir la valeur de la chaine.

le probleme est résolvable en utilisant une dizaine de polices différentes pour chaque lettre (la, pour reconnaitre un caractere, il va devoir le vouloir vraiment !!!)
 
WRInaute impliqué
donc, j'ai envie de remplir la boite mail de mon voisin qui a fait pisser son chien sur mes tuyas, je m'inscris 500 fois sur ton site avec son mail.

Bon et si je bloque l'inscription avec deux fois le même email, le gars n'a plus qu'à agresser le chien non ?

le principe, c'est que un chiffre ressemblera toujours à la meme chose. donc, il suffit de le reconnaitre (apparemment, c'est faisable, je n'ai jamais cherché)

Oui effectivement, j'ai lu cela, je voudrais bien comprendre comment.
On peut aussi poser une question, du style quelle est la couleur du ciel.
Mais là au bout d'un moment le gars doit avoir vite fait de répertorier manuellement toutes les questions du script... Si il n'a que cela à faire.
 
WRInaute impliqué
psychoreflex a dit:
Donc, concrètement, le gars qui balance son robot va peut être remplir la table "compte_en_attente_de_validation" de milliers d'inscriptions, mais il ne pourra pas agir avec, sauf à valider manuellement les emails de confirmation.
Déjà c'est raté pour sa magouille non ?
1) C'est techniquement faisable (si l'email donné est valide) d'avoir un robot qui a réception du-dit mail, va le parser, y trouver une url (notamment l'url de validation), et ouvrir cette url qui aura pour but de valider l'inscription.
Je ne suis pas capable de développer ca, mais pour quelqu'un qui connait bien, c'est easylove.

2) Le principe de l'image qui contient du texte à recopier, c'est une sécurité interressante, car je vois pas comment l'outre passer.

3) Sous ma couette (j'allais me relever juste après)
 
WRInaute impliqué
1) C'est techniquement faisable (si l'email donné est valide) d'avoir un robot qui a réception du-dit mail, va le parser, y trouver une url (notamment l'url de validation), et ouvrir cette url qui aura pour but de valider l'inscription.
Je ne suis pas capable de développer ca, mais pour quelqu'un qui connait bien, c'est easylove.

Okay mais si comme je le dis juste au dessus, je bloque l'inscription si deux emails identiques sont utilisés pour s'inscrire ? Le gars peut faire quoi ? Créer des faux emails à la volée sur des boites fictives ou réelles et les parser et les revalider?
Bon, et si en plus je bloque deux inscriptions consécutives avec la même ip. Il commence à s'énerver ou pas ?
 
WRInaute impliqué
Voilà une réponse qui gagnerait à être détaillée.

Pourrais-tu, détailler ce que sont un turing code et un anti flood ip ?
En précisant pour les trois points, si ce n'est pas trop demander, leurs rôles respectifs pour empêcher le flood.

Aussi :
Personnes n' a dit si le fait de bloquer une même adresse email pour deux tentatives d'inscription ne mettait pas fin au problème ou du moins le compliquait considérablement.
 
Discussions similaires
Réponses
3
Affichages
3K
mathieukassovitz
M
Haut