poseidon33 a écrit:
Pourquoi autant de robots ( il y en a énormément selon les spécialistes) cherchent à pénétrer un site par le processus d'inscription ??? Si le captcha a été crée ça doit bien servir à quelque chose?
Je pense que pour ton hébergeur, c'est une bonne solution pour botter en touche.
Sur certain forum ou il y a un captchabox j'ai vu plus de 100 inscriptions par jour par des robots cela n'est donc pas la solution miracle.
Cela ne veux pas dire qu'il ne faut pas implémenter la solution mais ce n'est pas un miracle non plus
poseidon33 a écrit:
Pourquoi autant de robots ( il y en a énormément selon les spécialistes) cherchent à pénétrer un site par le processus d'inscription ??? Si le captcha a été crée ça doit bien servir à quelque chose?
Dans le cas où l'inscription permet d'agir sur le site (saisie de commentaires ou de messages, par exemple), le captcha permet d'éviter qu'un "non-humain" enregistre des choses indésirables et/ou répétitives.
J'ai ce type de commentaire sur mon blog, où les commentaires sont ouverts à tous, c'est pourquoi je valide tous les commentaires pour supprimer les indésirables avant publication.
Sur le forum, on a de temps à autre des posts ... bizarres, qui sont supprimés dans les plus brefs délais.
Ca c'est du courant qui peut être freiné, si ce n'est empêché totalement, par un captcha.
Pour une intrusion qui vise vraiment à nuire, y a-t-il d'autre parade qu'un code bien sécurisé ? (ce à quoi nous veillons, et prenons très au sérieux toute indication de faille potentielle).
tosca a écrit:
poseidon33 a écrit:
Précision de mon hébergeur au sujet de ces inscriptions fantômes: il serait souhaitable que PIWIGO prévoit rapidement d'intégrer un captcha dans le processus d'inscription.
Il me semble que extension:216 permet de sécuriser l'inscription et de faire encore beaucoup d'autres choses.
Par contre (je suis peut-être complètement naïve sur ce coup-là) mais je ne vois pas bien quelle protection peut assurer la procédure d'inscriptionvis-à-vis d'un visiteur malintentionné. Sauf erreur de ma part, l'inscription permet de verrouiller l'accès aux données contenues dans la base, rien de plus.
Pourquoi autant de robots ( il y en a énormément selon les spécialistes) cherchent à pénétrer un site par le processus d'inscription ??? Si le captcha a été crée ça doit bien servir à quelque chose?
poseidon33 a écrit:
Précision de mon hébergeur au sujet de ces inscriptions fantômes: il serait souhaitable que PIWIGO prévoit rapidement d'intégrer un captcha dans le processus d'inscription.
Il me semble que extension:216 permet de sécuriser l'inscription et de faire encore beaucoup d'autres choses.
Par contre (je suis peut-être complètement naïve sur ce coup-là) mais je ne vois pas bien quelle protection peut assurer la procédure d'inscriptionvis-à-vis d'un visiteur malintentionné. Sauf erreur de ma part, l'inscription permet de verrouiller l'accès aux données contenues dans la base, rien de plus.
Précision de mon hébergeur au sujet de ces inscriptions fantômes: il serait souhaitable que PIWIGO prévoit rapidement d'intégrer un captcha dans le processus d'inscription.
poseidon33 a écrit:
Je suis sous la version 2.08, je viens de voir que la 2.1 est dipo, je vais la charger et l'installer.
Très bonne précaution ... et si tu t'inscris à la newsletter, tu seras averti des prochaines versions dès leur sortie (et tu ne seras pas "inondé" pour autant, la newsletter ne servant qu'aux annonces de nouvelles versions ou alertes de sécurité).
VDigital a écrit:
Quelle version de Piwigo? Si tu n'es pas encore avec la dernière version, il est possible qu'une faille existe.
C'est à toi de faire la migration.
Si c'est la dernière version, nous pouvons te proposer un bout de code pour essayer d'en savoir un peu plus.
Mais le pb est peut-être Piwigo sous Guppy.
Problème sous GUPPY? je ne cois pas, parce que GUPPY se contente de lancer la galerie sans autre interférence et puis, il y a aussi la possibilité de s'enregistrer sous GUPPY ( fonction désactivée.
Je suis sous la version 2.08, je viens de voir que la 2.1 est dipo, je vais la charger et l'installer.
Merci de vos conseils. je vous tiens au courant de la suite.
VDigital a écrit:
GuppY v4.5.18 Blind SQL/XPath injection Vulnerability - ExploitAlert - SecurityReason.com
Peut-être.
C'est une vielle version, il y a de nombreuses MAJ depuis la 4.5.18.
Quelle version de Piwigo? Si tu n'es pas encore avec la dernière version, il est possible qu'une faille existe.
C'est à toi de faire la migration.
Si c'est la dernière version, nous pouvons te proposer un bout de code pour essayer d'en savoir un peu plus.
Mais le pb est peut-être Piwigo sous Guppy.
Depuis mon dernier message j'ai eu plus d'une demi-douzaine d'inscriptions curieuses qui se manifestent de la manière suivante:
1 - Je reçois la notification d'inscription en qualité de "visiteur" en double exemplaire,
2 - L'adresse IP est originaire le plus souvent en Russie ou Lettonie ou même non localisable,
3 - L'adresse IP ne figure pas dans la liste des adresses qui ont visité le site, donc manifestement ce sont des robots ou des HACKERS qui ont une arrière pensée pas très catholique et EXPLOITENT UNE MANIERE NON CONVENTIONNELLE POUR S INSCRIRE!!
QUESTIONS:
1 - N'y aurait-il pas une faille dans le script qui permettrait un piratage?
2 - Y a t'il d'autres utilisateurs de PIWIGO qui ont rencontré ce phénomène au cours des dernières semaines?
3 - Quelles mesures de précaution prendre et comment vérifier que ces visiteurs n'ont pas déposé un cadeau sur le serveur?
Pour ma part, je me suis limité à supprimer ces visiteurs de la liste des inscrits et à bannir l'adresse IP par le plugin Astat.2.
Je précise que PIWIGO tourne en sous-domaine géré par le CMS GUPPY, lequel a une excellente réputation de sécurité et ne me pose jamais de problèmes de vulnérabilité.
www.imaginavigne.com
ddtddt a écrit:
Cela peut être aussi un visiteur avec une adresse bizarre ;-)
Dans quel pays t'envoyais IP du visiteur ?
En RUSSIE ....................................... LE PARADIS DES HACKERS !!!! Y a de quoi serrer les fesses en attendant la manifestation de l'attaque !
N'en tiens pas compte. Si c'est vraiment quelqu'un d'intéressé par ton travail il pourra toujours te contacter :-)
Cela peut être aussi un visiteur avec une adresse bizarre ;-)
Dans quel pays t'envoyais IP du visiteur ?
Je viens d'avoir une inscription étrange sur mon site, un visiteur nommé BunderArray avec une adresse e-mail aussi tordue que celle-là: *******@gmail.com.
Le plus curieux est que je n'ai pas trouvé trace de son adresse IP dans la liste des adresseS qui ont visité le site ( plugin ASTAT2 )
ça me parait pas très catholique !!! Ne s'agirait-il pas d'un robot chargé de pirater les adresses des visiteurs inscrits ????
J'ai appliqué le principe de précaution en mettant son adresse IP en liste noire.
Merci de votre avis
[edit]
Merci de ne pas citer de mél, même si tu pense que cela est un spam