Gli spammer dilagano? Qualche suggerimento su cosa fare.

Started by emanuele, May 09, 2012, 12:01:08 PM

Previous topic - Next topic

emanuele

SMF è un buon prodotto (beh, non posso mica dire altrimenti! :P), però, come tutte le applicazioni web è soggetto agli attacchi da parte degli spammer.

Perché gli spammer cercano di iscriversi? Mah...infilare link in post e firme per alzare il ranking di google, phishing ed affini.

Cosa fare per proteggersi?
SMF (2.0.x) offre di default almeno 3 opzioni per chercare di evitare che gli spammer si iscrivano:
1) l'attivazione dell'account tramite email (utile per far sì che il bot abbia più difficoltà ad ottenere un account con cui possa scrivere sul forum) oppure che richieda l'approvazione di un admin,
2) il captcha (purtroppo al giorno d'oggi praticamente inutile),
3) le domande alla registrazione.

La prima misura può essere abilitata in admin > utenti > registrazione > impostazioni.
La seconda e la terza invece in admin > configurazione > sicurezza e moderazione > anti-spam.

Il captcha può essere impostato da "nessuno" (quindi non verrà richiesto) a "estremo" (in cui le lettere sono molto distorte ed in teoria più difficili da leggere per i bot...teoria).
Appena sotto al box di impostazione del captcha c'è quello di impostazione delle domande di verifica. Questo è di solito il metodo più efficiacie che SMF mette a disposizione di default, c'è da fare però un paio di considerazioni:
a) i bot sono prevalentemente pensati per rispondere a domande in inglese,
b) i bot sanno fare bene la matematica.
Quindi, essendo italiani, dovremmo poterci permettere domande relativamente facili senza il rischio che i bot siano in grado di rispondere.
Per impostare le domande bisogna sia scrivere domande e risposte nelle apposite caselle nel pannello di admin, sia decidere quante domande verranno visualizzate alla registrazione (numero da inserire nella casella appena sotto al captcha). Se si inseriscono più domande di quelle che si è impostato di visualizzare allora verranno mostrate tutte a rotazione in maniera casuale (es. abbiamo scritto 10 domande e abbiamo deciso di mostrarne solo 2, ne verranno mostrate ogni volta 2 diverse scelte fra le 10 inserite).

Ma naturalmente non è tutto!
SMF è famoso anche per i mod, ed infatti sul sito esiste un'intera categoria di mod dedicata alla prevenzione dello spam.
Tra questi i più quotati, quelli che sono riportati come i migliori risultano essere (nell'ordine in cui li ho trovati...):
Bad Behavior
httpBL
Stop Forum Spam
Stop Spammer
Forum Firewall

Beh, al momento questo è tutto quello che mi viene in mente...se volete aggiungere vostre esperienze o suggerimenti o se avete domande, fate pure! ;D


Take a peek at what I'm doing! ;D




Hai bisogno di supporto in Italiano?

Aiutateci ad aiutarvi: spiegate bene il vostro problema: no, "non funziona" non è una spiegazione!!
1) Cosa fai,
2) cosa ti aspetti,
3) cosa ottieni.

vocar

C'è da dire una cosa però, come la mettiamo, dopo aver messo tutto con la numerazione utenti? Mi spiego: Dopo aver messo che chi si iscrive deve essere approvato dall'amministratore e viene respinto per le ragioni che sappiamo, sono arrivato al 10035° utente cancellati tutti, se si iscrive un utente vero avrà come ID 10036, ecco l'anomalia, come si fa per avere gli ID reali? Domanda già posta ma nessuno mi dice come fare e se si può fare, a meno che, detto errore non si corregga direttamente dal DB.
Cordialità.
Carlo (vocar)
https://www.vocarnet.it/logoV2.png [nofollow]
Non abbiamo paura di sprofondare all'inferno, solo nell'ignoto troveremo il nuovo

emanuele

Quelli sono gli ID "reali" (qualunque cosa significhi "reale" in questo caso).
Ogni utente (esistente o cancellato) ha uno ed un solo ID e questo non verrà mai più assegnato a nessun nuovo utente.

Riassegnare un ID già assegnato è potenzialmente dannoso e non porta ad alcun vantaggio. Facciamo un esempio:
1) si registra un utente (ID = 1),
2) si registra uno spammer (ID = 2),
3) ri registrano 10000 spammer (ID = 10002),
4) si registra un utente (ID = 10003),
5) cancelli i 10001 utenti.
L'ID successivo dovrà per forza partire da 10004 (che è l'approccio di phpBB da quanto mi ricordo e che è potenzialmente molto pericoloso, parlo per esperienza personale), non c'è nessuno sano di mente che andrebbe a correggere tutto quello che c'è da correggere per riportare l'ID dell'utente da 10003 a 2.

Ma ora spiegami: perché ti preoccupa così tanto l'ID?


Take a peek at what I'm doing! ;D




Hai bisogno di supporto in Italiano?

Aiutateci ad aiutarvi: spiegate bene il vostro problema: no, "non funziona" non è una spiegazione!!
1) Cosa fai,
2) cosa ti aspetti,
3) cosa ottieni.

wild56

ho vsito che sta diventando di moda (specie sui blog) permettere i commenti coi dati di twitter o facebook. E' possibile permettere l'iscrizione a smf coi dati di twitter o fb?

emanuele



Take a peek at what I'm doing! ;D




Hai bisogno di supporto in Italiano?

Aiutateci ad aiutarvi: spiegate bene il vostro problema: no, "non funziona" non è una spiegazione!!
1) Cosa fai,
2) cosa ti aspetti,
3) cosa ottieni.

kanaka

Potrei essere cacciato, ma esiste una traduzione per Forum Firewall? in italiano

emanuele



Take a peek at what I'm doing! ;D




Hai bisogno di supporto in Italiano?

Aiutateci ad aiutarvi: spiegate bene il vostro problema: no, "non funziona" non è una spiegazione!!
1) Cosa fai,
2) cosa ti aspetti,
3) cosa ottieni.

Advertisement: