Профилактическое отключение регистрации на форуме

Сообщение
Автор
Аватара пользователя
Big_Dog
Аксакал
Сообщения: 3732
Зарегистрирован: 28 ноя 2008 04:23 am
Репутация: 80
Откуда: Щекино

Re: Профилактическое отключение регистрации на форуме

#31 Сообщение Big_Dog » 28 ноя 2012 20:22 pm

serg-smirnoff писал(а):А при чем тут инъекции если они просто проходят автоматическую регистрацию
А потому что регистрация пользователя или размещение поста, по сути есть не что иное, как добавление записей или полей в таблицу (базу) SQL. И не важно каким способом ее туда добавили, через PHP-скрипт регистрации, через интерфейс MySQL или через дыру в ЛЮБОМ скрипте. И не обязательно, что этот скрипт - PHP-файл регистрации. Если дыра есть, допустим, в скрипте чата, то доступ к данным базы можно получить и через нее. А структура таблицы форума PHPBB известна всем спамерам. Так что, если есть дыра в каком-либо скрипте - пожалуйста, пиши через нее в базу чего захочешь.
Последний раз редактировалось Big_Dog 28 ноя 2012 20:28 pm, всего редактировалось 1 раз.
Не торопись отвечать. Сначала подумай: а оно тебе надо? :wink:

Аватара пользователя
брат_Алекс
Завсегдатый
Сообщения: 408
Зарегистрирован: 01 авг 2011 20:18 pm
Репутация: 33

#32 Сообщение брат_Алекс » 28 ноя 2012 20:26 pm

Big_Dog писал(а): Согласен. Не поможет.
И дело тут в первую очередь в открытости кода BBCode. В данном случае ничего не поможет.
Спамеры, имея перед глазами код скриптов движка, или заранее "знают" или без труда вычисляют все дыры, и с успехом используют их.
На мой взгляд дело в разработчиках PHPbb.
Есть движки с лицензией GNU, которые Хрумаком не прошибаются.
Big_Dog писал(а): Избавиться от спама можно только одним способом - уникализировать код движка, сделать его "закрытым".
Другими словами, изменить (переписать) алгоритмы скриптов движка, оставив тот-же функционал :) .
Идеальный вариант 100-процентного избавления от автоматического спама - написать свой движок с нуля. :D
Неэффективно. Для каждого форума свой код писать ?
Там дел на 1,5 часа - сменить двигло с PHPbb на SMF2.
У меня были подобные проблемы, что я только по началу не пробовал.
И капчу менял, и скрипты пилил.
В итоге перешел на SMF и спам исчез.
Как я понял, Сержа держит то, что у него сам сайт и форум интегрирован.
А разделить он их не хочет.
Изображение

Изображение

Аватара пользователя
Big_Dog
Аксакал
Сообщения: 3732
Зарегистрирован: 28 ноя 2008 04:23 am
Репутация: 80
Откуда: Щекино

#33 Сообщение Big_Dog » 28 ноя 2012 20:34 pm

брат_Алекс писал(а):Неэффективно. Для каждого форума свой код писать ?
Да ясен перец, что геморрой еще тот. И никто этим не будет заниматься :D Это типа шутка была. :)
брат_Алекс писал(а):В итоге перешел на SMF и спам исчез.
ИМХО. Боюсь, что это вопрос времени. Просто PHPbb более популярен, поэтому спамерам резонней "мочить" именно этот двиг. Когда же популярным станет SMF, спамеры переключат и на него свое внимание.
Не торопись отвечать. Сначала подумай: а оно тебе надо? :wink:

Аватара пользователя
брат_Алекс
Завсегдатый
Сообщения: 408
Зарегистрирован: 01 авг 2011 20:18 pm
Репутация: 33

#34 Сообщение брат_Алекс » 28 ноя 2012 20:40 pm

Grifon писал(а):там наскоко я помню вопрос не сколько софта сколько железа...
норм в хрю работало. я помню )))
правда осликом я даже в хрю не пользовался...
Там дело не в том, что Ослик, а в том, что это 6-ой Ослик. С тем же успехом можно было бы кидать Сержу претензии, что Щекино.Net не работает в браузере Lynx
Изображение

Изображение

Аватара пользователя
Сергей В.
Аксакал
Сообщения: 2282
Зарегистрирован: 23 окт 2009 23:50 pm
Репутация: 26
Откуда: Прекрасное далёко.

#35 Сообщение Сергей В. » 28 ноя 2012 21:57 pm

Проверил в IE 9 полёт нормальный :D

serg-smirnoff
Капитан Корабля
Сообщения: 8626
Зарегистрирован: 07 май 2005 21:17 pm
Репутация: 302

#36 Сообщение serg-smirnoff » 28 ноя 2012 22:01 pm

брат_Алекс писал(а):
serg-smirnoff писал(а):А при чем тут инъекции если они просто проходят автоматическую регистрацию и автоматический постинг и все это делается без инъекций. Тупо в лоб регистрируются и все. И постят потом.
Я бы переименовал PHP-шный файл регистрации, закрыл его в robots.txt и вызывал не через html <a href...>, а через java-script.
Итогом будет то, что бот не найдет ссылку, а человек ее увидит.
Хм. Интересная идея.
Государство, приказывающее умирать детворе, всегда назовет себя родиной

serg-smirnoff
Капитан Корабля
Сообщения: 8626
Зарегистрирован: 07 май 2005 21:17 pm
Репутация: 302

#37 Сообщение serg-smirnoff » 28 ноя 2012 22:02 pm

Big_Dog писал(а):
serg-smirnoff писал(а):А при чем тут инъекции если они просто проходят автоматическую регистрацию
А потому что регистрация пользователя или размещение поста, по сути есть не что иное, как добавление записей или полей в таблицу (базу) SQL. И не важно каким способом ее туда добавили, через PHP-скрипт регистрации, через интерфейс MySQL или через дыру в ЛЮБОМ скрипте. И не обязательно, что этот скрипт - PHP-файл регистрации. Если дыра есть, допустим, в скрипте чата, то доступ к данным базы можно получить и через нее. А структура таблицы форума PHPBB известна всем спамерам. Так что, если есть дыра в каком-либо скрипте - пожалуйста, пиши через нее в базу чего захочешь.
Ее туда добавляют не через дыру. Поэтому инъекций тут не используется. Поэтому при чем тут SQL инъекция?
Государство, приказывающее умирать детворе, всегда назовет себя родиной

serg-smirnoff
Капитан Корабля
Сообщения: 8626
Зарегистрирован: 07 май 2005 21:17 pm
Репутация: 302

#38 Сообщение serg-smirnoff » 28 ноя 2012 22:05 pm

Сергей В. писал(а):Проверил в IE 9 полёт нормальный :D
Удивительно. Правда?
Государство, приказывающее умирать детворе, всегда назовет себя родиной

serg-smirnoff
Капитан Корабля
Сообщения: 8626
Зарегистрирован: 07 май 2005 21:17 pm
Репутация: 302

#39 Сообщение serg-smirnoff » 28 ноя 2012 22:19 pm

На мой взгляд хорошим вариантом является привязка регистрации к сотовому телефону. То есть подтверждение кодом, отправляемым на личный номер. Это будет крайне не удобно для спамеров. Как реализовать не знаю.
Государство, приказывающее умирать детворе, всегда назовет себя родиной

Аватара пользователя
Сергей В.
Аксакал
Сообщения: 2282
Зарегистрирован: 23 окт 2009 23:50 pm
Репутация: 26
Откуда: Прекрасное далёко.

#40 Сообщение Сергей В. » 28 ноя 2012 22:37 pm

А капча не в моде? Или не по фэншую?
serg-smirnoff писал(а):Удивительно. Правда?
Ага. Да ваще!

Ответить