Gestion de Contenu, de Communauté et de groupes de travail collaboratif - Open Source, français, sécurisé, stable et performant

  • MODULES

    Pour étendre les nombreuses fonctionnalités disponibles de base - modules.npds.org est à votre disposition.

    Des modules complémentaires, une communauté de développeurs active, des forums pour vos questions ... NPDS  est aussi une plateforme de développement !
  • STYLES

    Vous cherchez des thèmes graphiques pour votre portail ou votre communauté : styles.npds.org est à votre disposition.

    Des thèmes du plus simple au plus sophistiqué. Des thèmes facilement modifiables et toujours en Open-Source - Laissez simplement parler votre imagination !
  • BIBLES

    La documentation indispensable pour personnaliser et exploiter toute la puissante de NPDS  est à votre disposition sur bible.npds.org.

    Vous pouvez participer à l'effort de documentation - rien de plus simple : contactez un membre de la Team de développement et nous vous ouvrirons un compte sur le Wiki !
Devenir membre    |    Identifiant : Mot de Passe : -
Au delà de la gestion de contenu 'classique', NPDS met en oeuvre un ensemble de fonctions spécifiquement dédiées à la gestion de Communauté et de groupes de travail collaboratif.
Il s'agit d'un Content & Community Management System (CCMS) robuste, sécurisé, complet, performant et parlant vraiment français.

Gérez votre Communauté d'utilisateurs, vos groupes de travail collaboratif, publiez, gérez et organisez votre contenu grâce aux puissants outils disponibles de base.
  • Multi langues (Français, Anglais, Allemand, Espagnol, Chinois)
  • Respect des standards : UTF8, XHTML, CSS, ...
  • Système de blocs avancés
  • Installation et administration complète et centralisée
  • Editeur HTML intégré
  • Gestionnaire de fichier en ligne
  • Gestion des groupes de membres
  • Ecriture collaborative de documents (PAD)
  • Forums évolués
  • Mini-sites (pour les membres et les groupes de travail)
  • Chat temp réel
  • Système de News et de rubriques complet (édition, révision, publication)
  • ...
Gratuit et libre (Open-Source), développé en PHP, NPDS est personnalisable grâce à de nombreux thèmes et modules et ne requiert que quelques compétences de base.
NPDS Workplace - groupe de travail collaboratif
 NPDS WorkSpace - tous l'univers du travail collaboratif.
Modéré par : developpeur jpb Jireck 
Index du Forum » » Sécurité » » idée contre les spambots  
2 pages [ 1 | 2 ]
Auteuridée contre les spambots
Achel_Jay
2691       
 

Achel_Jay
  Posté : 04-06-2006 01:49

Bon, y'a déjà le no-spambots qui est en cours de création et qui malgré qq petits bugs devrait bientôt être parfaitement opérationnel vu comment bosse néo ...

Dev, fodrais l'implémenter de base dans la prochaine version avec une case à cocher dans le config.php avec un test de présence de la librairie GDscript ce serait vraiment pas mal.

D'un autre côté, y'a qqch qui me chiffone un bon coups, j'ai rentré dans le ip-ban (j'avais qd même fait la première version avec snipe et ca fonctionnait bien), ces saloperies de bots le contourne ... alors j'ai pensé à un truc qui peut vachement être utile =>

Il faudrait faire une fusion entre le no-spambots et le session-logs, rajouter un code et une colonne mysql ne prenant en compte que les tentatives de post sans entrer le cryptograme, qui renvoit automatiquement l'adresse ip dans la table de ip-ban, mais une table que liée aux spambots.

Là où ca peut devenir intéressant pour la sécu, et dev va me chier dessus pcq je vais lui ressortir un vieu concept ( ) : on implémente du code cluster-paradise qui exporte grâce à un boutton "secure-cluster" (bon c'est pris au hasard) le tout dans une db unique sur un server à part(suis pret même à l'héberger cette db). Un autre boutton permettant de faire une MàJ de cette table en ajoutant le fichier global... un peu à la manière d'un anti-virus ... et par exemple sur npds, vu la communauté et cette base de donnée d'adresses ip on peut créer un script envoyant à une agence de type abuse cette liste d'ip (et comme y'aura des tonnes ... avec les dates, les heures, les providers etc, au moins pour une fois on peut espérer qu'un se fasse chopper).

Y'a aussi sur le même principe de déporter la sécu de npds dans un répertoire contenant les fichiers de scripts et de permettre une mise à jour en ligne de la sécu du site par rappatriation de ces fichiers lors de mises à jour des fichiers de sécu ...

Enfin, ce ne sont que qq idées qui linkerais pas mal de scripts déjà présents et qui permettrait à tout le monde de se patcher rapidement.

  Profil  E-mail  www  Citation   
Tito
7758       
 

Tito
  Posté : 04-06-2006 02:09

Je pense qu'il est temps qu'on réagisse. Après s'être attaqués aux e-mails, les spammeurs publient sur les commentaires et les forums de sites dynamiques.
C'est actuellement en fait un moyen très prolifique et facile: peu de systèmes les bloquent alors que les spams e-mails sont maintenant presque toujours bloqués.

Mais cela pourrait changer. Sur mon blog, j'ai installé un plugin qui a un fonctionnement similaire au filtre de Thunderbird. On pourrait peut-être l'adapter à NPDS? Le site du créateur: http://slashboot.free.fr/index.php?id=9,0,0,1,0,0

  Profil  E-mail  www  Citation   
neo_machine
598      
 

neo_machine
  Posté : 04-06-2006 04:59


Une modif de "no-spambots.zip" avec uniquement la variable de session qui est utilisée.
Comme cela, plus aucune information ne circule dans les URL.
DL ici
.



_][Etre autonome, c'est avoir besoin des autres et savoir que les autres ont besoin de soi ...][_

  Profil  www  Citation   
Achel_Jay
2691       
 

Achel_Jay
  Posté : 04-06-2006 16:07

Le problème avec ces bots c est qui font de linjection de code dans des pages qu'ils doivent avoir en stock (en gros le bots doit avoir un npds sur server et juste changer l'adresse pour l injection du code) ...

second blème, il bypass le système de hiérarchie ... via url injection ...

Tertio, il bypass la limite forte de posts par journée vu qu'il utilise en plus des proxy pour changer d'ip ... et en plus l ipban ne le prend pas en compte vu que c'est de l injection directe et non indirecte via un formulaire ...

Je dis qd même chapo à celui qui a créé ce bot pcq il nous met devant un faille exploitable de manière automatisée capable de nous faire bien chier et de pondre une contremesure qui touche au core de npds ...

Une chose qui faudrait savoir c'est si ça ne touche que npds et si ce n'est pas le cas voire les contrmesures mises en place par les autres cms. Pcq si c'est le cas ca dois etre lié soit à une portion de code ou variable identique ou pire ... une faille de apache, php ou mysql ... et là vu le temps qui mettent pour faire des patchs c'est la merde ...

En tout cas je dirais pour ceux qui ont encore des logs qui les sauvegardent et qu ils les rassemblent pour une plainte (et surtout pour des justification auprès des hébergeurs qui risquent d'en avoir marre de ce flood sur la bande passante et la base mysql). Perso ils peuvent bloquer l'accès à ce range d'ip direct via leur firewall aussi ... ou alors y sont cons et non-secure et eux doivent se plaindre aux ISP en cause.

autre possibilité : on fait du reversing en trouvant un exemple de ce genre de bot pour voir ou se trouve la faille ... et on patch à partir des conclusions. Si c'est comme les outils de pen-test ca doit etre un bot général avec des scripts-addons...

Dernière solution mais illégale => on flood le proxy comme des bêtes jusqu'à ce qu'il tombe vu qu'il n'en utilise que deux dans des zones géographiques hors de l'EU et des USA dans des pays sans législation véritable de sécurité informatique ... c est dégeu mais bon, ça devient de l'auto-défense : surtout qui y'a des script php qui le font très bien pour automatiser sur chaque site lors des posts ...

  Profil  E-mail  www  Citation   
neo_machine
598      
 

neo_machine
  Posté : 05-06-2006 05:09

Parce que nous en avons tous de passer des heures à retirer les spams de nos commentaires des news, critique, dans les sondages ou nos forums ;
Parce que nous préférons passer plus de temps avec nos internautes ;
Parce que nous souhaitons avant tout la qualité de nos sites ;

Un bloquage à cette polution exist. En fait, deux version maintenant.

Une première version vous est proposée,
DL ici
..
Un code aléatoire, sous forme d'une image, à recopier pour valider les posts.
Cette version nécessite la librairie GD sur votre site et utilise les variables de session.

Une seconde version existe.
Pas d'image, pas de code à recopier, pas de librairie GD.
Une question est posée et la réponse exact déclanche le post.

Un bon lien c'est mieux qu'un long discourt.



@+


_][Etre autonome, c'est avoir besoin des autres et savoir que les autres ont besoin de soi ...][_

  Profil  www  Citation   
Achel_Jay
2691       
 

Achel_Jay
  Posté : 05-06-2006 17:44

bien joué +1000 man

pour le cryptograme en librairie gd, et l'autre avec la question, je regarderai pour les passer en modules et voir si y a moyen de désactiver et d'activer la protection dans une admin de type ip-ban, dès que j'ai le temps, ca éviterais de toucher au code du noyau et permettrait de le déployer plus vite sans erreur (perso j'ai toujours une erreur de type 16 )

En tout cas c'est exellent, t as développé ca hyper rapidement alors que j'avais essayé y a qq années au début de l'appartition de ce type de protection, d'ailleur un de la tnt m'avait demandé si j avais encore les codes mais c était pourri et j'arrivais pas à faire une admin (pompé d'un tuto de la hackadémie).


  Profil  E-mail  www  Citation   
neo_machine
598      
 

neo_machine
  Posté : 05-06-2006 18:27

Impossible de le passer en module car c'est du code pur de NPDS qu'il faut modifier entre deux [form] dans tous les fic concernés.

Et question de module, n'est-ce pas, Ji.

  Profil  www  Citation   
developpeur
24581       
 

developpeur
  Posté : 05-06-2006 23:10

effectivement néo / tcho achel ... le code proposer par Neo devrait intègrer la prochaine version je pense (tito / Pomme ?)

  Profil  E-mail  www  Citation   
Anonyme
19853  

Anonyme
  Posté : 05-06-2006 23:47

Si je peux faire autre chose, ... suivant mes petits moyens et possibilités ... avec grand plaisir.




  Citation   
neo_machine
598      
 

neo_machine
  Posté : 05-06-2006 23:49

Citation : Anonyme

Si je peux faire autre chose, ... suivant mes petits moyens et possibilités ... avec grand plaisir.



_][Etre autonome, c'est avoir besoin des autres et savoir que les autres ont besoin de soi ...][_


Oups, j'ai oublié de me loguer, désolé.



_][Etre autonome, c'est avoir besoin des autres et savoir que les autres ont besoin de soi ...][_

  Profil  www  Citation   
xgonin
709      
 

xgonin
  Posté : 06-06-2006 08:46

Citation : neo_machine


Une modif de "no-spambots.zip" avec uniquement la variable de session qui est utilisée.
Comme cela, plus aucune information ne circule dans les URL.
DL ici
.



Nickel, ça marche du tonnerre de dieu !



Xav
www.xgonin.ch

Message édité par : xgonin / 06-06-2006 08:47


  Profil  www  Citation   
Jireck
8501       

Jireck
  Posté : 06-06-2006 14:48

Citation : neo_machine

Et question de module, n'est-ce pas, Ji.


Qui que quoi donc ?

  Profil  Citation   
neo_machine
598      
 

neo_machine
  Posté : 06-06-2006 14:58

Ou ... ... sur module

  Profil  www  Citation   
Jireck
8501       

Jireck
  Posté : 06-06-2006 19:01

heeeuu pourquoi je comprends rien ???

  Profil  Citation   
neo_machine
598      
 

neo_machine
  Posté : 06-06-2006 21:22

Citation : Jireck

Citation : neo_machine

Et question de module, n'est-ce pas, Ji.


Qui que quoi donc ?


Qui que quoi donc ? Ou

Conjonctions de coordination.

  Profil  www  Citation   
Aller à la page : [ 1 | 2 ]
  
Sauter à :

Temps : 0.0247 seconde(s)