#1 2008-05-30 09:58:19

vimages
Membre
2004-03-27
2429

enregistrement d'utilisateurs curieux

Bonjour à tous.

J'ai presque tous les jours, en tout cas plusieurs fois par semaine, des utilisateurs qui s'enregistrent sur mon serveur principal avec des noms du type wwxdfghjmk , codes et adresses similaires.. soit, bidon, n'importe quoi... quoi que..
Les enchainement de lettres, ou les fausses adresses mail laissent penser que ce peut être une ou quelques personnes qui renouvèlent régulièrement ces enregistrements.
Un enregistrement, non associé par moi à des dossiers du serveur, ne donne accès à rien.. il est sans intérêt.
J'efface ces utilisateurs au fur et à mesure..
Est-ce juste des coïncidences, des visites inoffensives, ou peut-on imaginer que ces enregistrements sont utilisés d'une façon ou d'une autre ?

merci.
éric.

Hors ligne

#2 2008-05-30 10:47:30

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: enregistrement d'utilisateurs curieux

L'enregistrement libre, mais géré cad. qui ne donne aucun accès supplémentaire ou des accès très limités, ne présente pas de risque en soi à un détail près.
L'adresse du webmaster devient accessible en pied de page, ce qui augmente le risque de spam.

Ta galerie malgré tout excite la curiosité de personnes pas forcément bien intentionnées.
D'autant plus qu'elles savent qu'un certain nombre d'images interdites d'accès sont présentes sur ton site.
8-?


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#3 2008-05-30 11:01:40

vimages
Membre
2004-03-27
2429

Re: enregistrement d'utilisateurs curieux

Oui, je sais bien , mais il faut relativiser... je sais bien que des images sont quelques fois utilisées sans mon accord, c'est ennuyeux, mais pas mortel.. c'est moins grave qu'un effaçage des données, photos, BDD.. ou autres..

Mon inquiétude est plutôt sur une attaque brute et malveillante soit destructrice, soit, conduisant à l'utilisation du serveur comme relais dans des actions vers des sites tiers... dans les deux cas, le serveur serait au mieux, ralenti, au pire inaccessible.

Pour résumer, mes photos sont sauvegardées, les BDD aussi, mais une mise hors ligne des serveurs serait très préjudiciable pour ma fragile activité.

Hors ligne

#4 2008-05-30 11:28:55

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: enregistrement d'utilisateurs curieux

Nous ne pouvons pas t'assurer que le code est exempt de faille de sécurité.

Notre conviction est que la version de base ne présente pas de faille connue sur un environnement serveur sécurisé.

On va peut être dire que je joue sur les mots, donc je détaille ce que cela signifie.

1 - Si le serveur est bien paramétré et que lui même ne présente pas de faille...
2 - Si le site utilise bien la dernière release stable disponible (dans notre cas actuellement 1.7.1)
3 - Si les plugins mis en oeuvre ne créent pas une faille
4 - Si le webmaster se limite de lui-même à des techniques qu'il maîtrise, ou à des changements réputés corrects.

Alors:
- le risque de saturation du serveur est possible (le plugin AntiAspi est une bonne réponse même si elle reste partielle).
- les risques de rebond (script), d'altération de la base de données, et autres mauvaises plaisanteries sont relativement faibles.

8-)


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#5 2008-05-30 11:39:28

vimages
Membre
2004-03-27
2429

Re: enregistrement d'utilisateurs curieux

Je vois les choses exactement comme cela moi aussi.
Il me semble que PWG est plutôt sur. Quand au serveur, c'est une autre histoire... à chacun de faire au mieux.. et à moi de le gérer.
Mais comme je ne connais pas tout, je préfère poser des questions et essayer de comprendre...

merci.
éric.

Hors ligne

#6 2008-06-02 12:59:32

Eric
Former Piwigo Team
VALENCE (FR)
2005-03-25
4579

Re: enregistrement d'utilisateurs curieux

Salut !

En lisant ce fil, je me suis demandé si le plugin AdvancedUserManager de Nicco ne te serait pas utile. Au moins, les utilisateurs sans adresse mail valide ne pourraient pas accéder à ta galerie et limiterait les conséquences d'une éventuelle attaque.

Hors ligne

#7 2008-06-02 13:27:41

Nicco
Membre
Paris - Val de Marne
2006-05-12
1794

Re: enregistrement d'utilisateurs curieux

Salut,

dans l'etat actuel je ne sais si il peut t'aider ... mais effectivement parmis toutes les modifs que je dois lui apporter pourquoi ne pas ajouter le fait de ne rien changer pour le user tant qu'il n est pas validé ( webmaster mail non visible )

a+


Nicco Starrrr ..... voici ma galerie http://gallery-nicco.no-ip.org & ma passion http://bd-nicco.no-ip.org
version PWG 1.7.1 + de nombreux plugins actifs (trop pour les énumérer)

Hors ligne

#8 2008-06-02 18:49:12

Eric
Former Piwigo Team
VALENCE (FR)
2005-03-25
4579

Re: enregistrement d'utilisateurs curieux

Nicco a écrit:

dans l'etat actuel je ne sais si il peut t'aider ... mais effectivement parmis toutes les modifs que je dois lui apporter pourquoi ne pas ajouter le fait de ne rien changer pour le user tant qu'il n est pas validé ( webmaster mail non visible )

Bah, c'est déjà le cas, il me semble. Perso, j'utilise ton plugin de manière à ce que les users qui n'ont pas validé leur mail via le lien qui leur est envoyé n'ont aucun accès à la galerie (grâce à la gestion de groupes). En y ajoutant le fait qu'une adresse email doit être unique en BDD et la sensibilité à la casse, çà fait déjà un sacré filtre contre les éventuels indélicats.

Reste le fait qu'il faut supprimer manuellement les users non validés. Mais c'est une opération assez rapide et, selon les évolutions demandées au sujet du plugin, notre ami Nicco ne va pas tarder à nous sortir une version avec purge auto des users non valides après x temps... ;-)

Hors ligne

#9 2008-06-04 00:59:13

Nicco
Membre
Paris - Val de Marne
2006-05-12
1794

Re: enregistrement d'utilisateurs curieux

;-]


Nicco Starrrr ..... voici ma galerie http://gallery-nicco.no-ip.org & ma passion http://bd-nicco.no-ip.org
version PWG 1.7.1 + de nombreux plugins actifs (trop pour les énumérer)

Hors ligne

#10 2008-06-05 20:53:57

Patricia
Membre
Lens (62) Pas de Calais
2004-04-27
774

Re: enregistrement d'utilisateurs curieux

Bonsoir le Forum

Il nous l'avais promis pour .... !
Au c'était pour quand ?


Bisous de PAT

@ + ou -

Hors ligne

#11 2008-07-27 22:07:47

Patricia
Membre
Lens (62) Pas de Calais
2004-04-27
774

Re: enregistrement d'utilisateurs curieux

Bonsoir le Forum

C'est pour très bientôt !
Enfin je crois.


Bisous de PAT

@ + ou -

Hors ligne

#12 2008-08-30 19:10:09

Nicco
Membre
Paris - Val de Marne
2006-05-12
1794

Re: enregistrement d'utilisateurs curieux

désolé après plusieurs moi je suis de retour ...

et je vais essayer de me pencher sur le sujet !

Patricia un ptit résumé pour me faire gagner du temps ;o]


Nicco Starrrr ..... voici ma galerie http://gallery-nicco.no-ip.org & ma passion http://bd-nicco.no-ip.org
version PWG 1.7.1 + de nombreux plugins actifs (trop pour les énumérer)

Hors ligne

#13 2008-08-31 10:45:51

Patricia
Membre
Lens (62) Pas de Calais
2004-04-27
774

Re: enregistrement d'utilisateurs curieux

Bonjour le Forum

A la demande de Nicco je récapitule :

- 1) Lors de l'envoi du M@il de confirmation d'inscription celui qui demande la validation de l'inscription si l'adresse Em@il est fausse. Il faut le supprimé de la liste des Utilisateurs en cours de validation.   

- 2) Si une personne s'inscrit et ne valide pas son inscription. Au bout d'un certain temps (variable si possible, en jour) il est supprimé de la liste des Utilisateurs en cours de validation.

- 3) Si un Utilisateur (donc il a été validé) ne reviens pas visiter le site au bout d'un certain temps (variable si possible, en jour) il est supprimé de la liste des Utilisateurs.

- 4) Pour les points 2 et 3 prévoir l'envoi d'un M@il un certain temps avant (variable si possible, en jour) le déclenchement des procédures 2 et 3

Voila pour moi voir peut être avec Vimages et Eric, si ils n'ont pas d'autres doléances.


D'avance merci.

Dernière modification par Patricia (2008-08-31 10:49:19)


Bisous de PAT

@ + ou -

Hors ligne

#14 2008-10-24 05:25:06

pierreL
Membre
2008-09-25
68

Re: enregistrement d'utilisateurs curieux

Bonjour,


Je penche plutôt pour des curieux, qui veulent voir sans s'inscrire, et je le comprends.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact