N'en tiens pas compte. Si c'est vraiment quelqu'un d'intéressé par ton travail il pourra toujours te contacter :-)

Depuis mon dernier message j'ai eu plus d'une demi-douzaine d'inscriptions curieuses qui se manifestent de la manière suivante:
1 - Je reçois la notification d'inscription en qualité de "visiteur" en double exemplaire,
2 - L'adresse IP est originaire le plus souvent en Russie ou Lettonie ou même non localisable,
3 - L'adresse IP  ne figure pas dans la liste des adresses qui ont visité le site, donc manifestement ce sont des robots ou des HACKERS qui ont une arrière pensée pas très catholique et EXPLOITENT UNE MANIERE NON CONVENTIONNELLE POUR S INSCRIRE!!

QUESTIONS:
1 - N'y aurait-il pas une faille dans le script qui permettrait un piratage?
2 - Y a t'il d'autres utilisateurs de PIWIGO qui ont rencontré ce phénomène au cours des dernières semaines?
3 - Quelles mesures de précaution prendre et comment vérifier que ces visiteurs n'ont pas déposé un cadeau sur le serveur?

Pour ma part, je me suis limité à supprimer ces visiteurs de la liste des inscrits et à bannir l'adresse IP par le plugin Astat.2.

Je précise que PIWIGO tourne en sous-domaine géré par le CMS GUPPY, lequel a une excellente réputation de sécurité et ne me pose jamais de problèmes de vulnérabilité.

www.imaginavigne.com

GuppY v4.5.18 Blind SQL/XPath injection Vulnerability - ExploitAlert - SecurityReason.com
Peut-être.

VDigital a écrit:

Quelle version de Piwigo? Si tu n'es pas encore avec la dernière version, il est possible qu'une faille existe.
C'est à toi de faire la migration.
Si c'est la dernière version, nous pouvons te proposer un bout de code pour essayer d'en savoir un peu plus.
Mais le pb est peut-être Piwigo sous Guppy.

Problème sous GUPPY? je ne cois pas, parce que GUPPY se contente de lancer la galerie sans autre interférence et puis, il y a aussi la possibilité de s'enregistrer sous GUPPY ( fonction désactivée.

Je suis sous la version 2.08, je viens de voir que la 2.1 est dipo, je vais la charger et l'installer.

Merci de vos conseils. je vous tiens au courant de la suite.

Précision de mon hébergeur au sujet de ces inscriptions fantômes: il serait souhaitable que PIWIGO prévoit rapidement d'intégrer un captcha dans le processus d'inscription.

tosca a écrit:

poseidon33 a écrit:

Précision de mon hébergeur au sujet de ces inscriptions fantômes: il serait souhaitable que PIWIGO prévoit rapidement d'intégrer un captcha dans le processus d'inscription.

Il me semble que [extension by Eric] UserAdvManager permet de sécuriser l'inscription et  de faire encore beaucoup d'autres choses.

Par contre (je suis peut-être complètement naïve sur ce coup-là) mais je ne vois pas bien quelle protection peut assurer la procédure d'inscriptionvis-à-vis d'un visiteur malintentionné. Sauf erreur de ma part, l'inscription permet de verrouiller l'accès aux données contenues dans la base, rien de plus.

Pourquoi autant de robots ( il y en a énormément selon les spécialistes) cherchent à pénétrer un site par le processus d'inscription ??? Si le captcha a été crée ça doit bien servir à quelque chose?

poseidon33 a écrit:

Pourquoi autant de robots ( il y en a énormément selon les spécialistes) cherchent à pénétrer un site par le processus d'inscription ??? Si le captcha a été crée ça doit bien servir à quelque chose?

Je pense que pour ton hébergeur, c'est une bonne solution pour botter en touche.

Sur certain forum ou il y a un captchabox j'ai vu plus de 100 inscriptions par jour par des robots cela n'est donc pas la solution miracle.

Cela ne veux pas dire qu'il ne faut pas implémenter la solution mais ce n'est pas un miracle non plus