Amélioration de l'anti spam du module blog

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

Bonsoir

je viens de livrer un nouvel additif pour le blog, permettant de lutter plus efficacement contre le spam qui peut être généré si vous laissez les commentaires ouverts au public

Attention, dans ce patch il y a un fichier à remplacer ainsi que deux actions décrites, l'une d'elles consiste à ajouter une nouvelle fonction de sécurité dans maximus, la seconde consiste à balancer le contenu de la table _blogs_prevention que j'ai semble t il oublié dans l'installeur Smile

ainsi il sera possible de personnaliser son système de prévention

par défaut, j'ai bloqué 3 domaines qui pullulent de spams
- mail.ru
- yandex.ru
- mail.ua

il vous sera possible d'ajouter des domaines mais pour l'instant manuellement en modifiant le fichier livré à la ligne 66 ( j'améliorerai le système de prévention dans l'avenir )

http://www.php-maximus.org/php_bug_amelioration_de_l_039_anti_spam_du_module_blog_518.html

je livrerai prochainement un autre code captcha plus sûr que j'ai du re-développer, mais celui ci demande encore une période de test afin de confirmer s'il s'avère bien positif ( pour l'instant depuis une semaine avec ces modifications je n'ai plus eu aucun spam - certains sites arrivaient à en avoir plusieurs par jour !)

GravuTrad · Inscrit le: May 12, 2005 Messages: 5081 50147 points Lieu de résidence

Super cyril. Merci.

Pourquoi, celui de maximus a eu des soucis avec certains bots?

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

oui idem pour celui de minimus mais il était portant mieux doté de ce coté ( puisque plus récent )

maintenant ils sont à jeu égaux jusqu'à la prochaine évolution ( amélioration du code captcha et nouvelles possibilités dans le mode prévention )

mais déjà là, perso je n'en ai plus depuis plusieurs jours déjà

il faut noter que le soucis n'arrivait que si le billet concerné était 'commentable' librement par les visiteurs

ce qui est marrant c'est que j'ai eu certains billets visés et toujours les mêmes, par exemple ce qui est marrant sur l'un de mes sites où il y a dans les 2500 billets , seulement un seul est touché depuis quelques temps, et toujours le même de manière cyclique ( une fois par jour ), bon je surveille le processus mais avec déjà ceci ça stoppe 99% de ce qui passait, dès que j'aurai bien terminé le nouveau captcha je l'intègrerai, je préfère garder une ou deux semaines de tests sur différents sites au hasard pour m'en assurer

marrant comme les mecs ont du temps à perdre à analyser un code source et un captcha pour balancer des âneries Smile

GravuTrad · Inscrit le: May 12, 2005 Messages: 5081 50147 points Lieu de résidence

Ou était la faille de ton captcha?

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

en fait tout est toujours contournable, il n'existe pas de produits sûrs à 100% ( ça c'est malheureusement célèbre )

je me suis penché sur le pourquoi du comment et en fait il ne faut pas longue réflexion pour comprendre que si l'on a pas changé le $sitekey dans le config.php le résultat final du captcha est calculable aisément via un script puisque l'on connait tous les paramètres du calcul

donc priorité : changer régulièrement le $sitekey !!!

une fois ceci fait, déjà je n'ai plus de spam qui passe, mais vu que j'ai réussi à calculer le code généré avec succès à chaque fois, j'ai donc revu le système pour que l'une des informations générant la valeur ne soit plus visible telle qu'elle l'est actuellement Sad

reste que le code généré qu'avec des chiffres est pour moi maintenant par évidence pas assez complexe, il faudra passer avec le code chiffres/lettres comme j'ai fait sur ce site pour le login, ainsi le nombre de possibilités est réellement exponentiel et extrêmement difficile à calculer

le but de ce type de code ne peut et ne pourra jamais être de 100% sûr , mais plus le calcul sera difficile et laborieux à faire, moins on aura de blaireaux qui perdront du temps à ça

en fait, le code est toujours celui de phpnuke ( même s'il a connu quelques modifications, il n'en reste pas moins qu'à mes yeux il est hors d'âge - non pas dans l'affichage mais plutôt dans sa méthode de calcul et de génération )

le prochain captcha qui sera placé dans le blog sera donc du genre costaud et résistera pour les années à venir, jusqu'à quand dieu seul le sait mdr :), ce qui est sûr c'est qu'un jour il faudra le réactualiser très certainement

en matière de sécurité informatique de toute façon, un produit est déjà obsolète dès son premier jour d'activation ( y'a pas lézard )

GravuTrad · Inscrit le: May 12, 2005 Messages: 5081 50147 points Lieu de résidence

Yes. merci pour toutes ces infos.

Et vas y, n'hésite pas à verser la salière à fond sur le script lol... Wink