bonjour,
avec un php de 40 lignes, qui simule un envoi par _POST,
j'arrive à faire exploser la table spip_forum en y balançant
des spams à tour de bras.
testé sur une 1.9.2e
je fais quoi maintenant ?
(non, je ne poserai pas mon script ici...)
Quel que soit le dispositif mis en place, il est possible de le contourner avec un script. Sauf à fermer les forum.
Donc, de ce point de vue, il n'y a rien à faire.
La stratégie générale est d'être juste un peu plus malin que la moyenne des robots pour que ceux-ci préfèrent plutôt poster sur d'autres sites plus 'faciles'.
Cédric
cedric.morin@yterium.com a écrit :
Quel que soit le dispositif mis en place, il est possible de le contourner avec un script.
ouais, mais là, c'est du extremly-very-young-baby-kiddy script.
bon.
je regarde comment m'empêcher d'être méchant...
(quelqu'un a une hache ?)
cedric.morin@yterium.com a écrit :
Quel que soit le dispositif mis en place, il est possible de le contourner avec un script. Sauf à fermer les forum.
Donc, de ce point de vue, il n'y a rien à faire.
heu, si, en fait, j'ai jeté un oeil en 1.9.2 et effectivement, il y a un truc louche...
en gros, meme si on ferme le forum, on peut continuer à injecter des messages depuis l'accès public (ils doivent en plus prendre le statut "prive" dans certains cas si j'ai bien compris le code)
on peut se dire que ca n'a pas grande importance puisqu'ils n'apparaissent pas sur le site public(enfin, si au moins ils tombaient tous en 'off' ca serait mieux...), mais chez free, tu as droit à une destruction de la table spip_forums si elle est pleine de spam, qu'ils soient à la poubelle ou non...
j'ai pas trouvé de solution simple pour rejeter purement et simplement les messages publics si on a accepter_forum=non
le probleme c'est que controler_forum ne fait pas la difference entre un post public et un post privé.
je dirais qu'il faut ajouter un test ligne 165 de /ecrire/inc/forum_insert.php, mais on a une contante en 1.9.2 qui nous dit si on est dans /ecrire ou non ?
@++
Stephane a écrit :
en gros, meme si on ferme le forum, on peut continuer à injecter des messages depuis l'accès public (ils doivent en plus prendre le statut "prive" dans certains cas si j'ai bien compris le code)
voilà. c'est ça.
- si l'article a son forum ouvert, affichage du spam
- si l'article a son forum fermé, pas d'affichage du spam (et pour cause) mais apparition dans 'exec=controle_forum' avec la mention "Gérer le forum public de cet article"
- si les forums sont désactivés globalement (config), pas d'affichage du spam, et apparition dans 'exec=controle_forum' avec la mention "Message du forum interne"
dans tous les cas, la table spip_forum gonfle, gonfle, gonfle...
denisb a écrit :
- si l'article a son forum ouvert, affichage du spam
bon.
et ben c'est pas drôle...
si *captcha2* [24047] activé, ça ne change rien.
le spam passe !
(désolé erational)
Stephane a écrit :
cedric.morin@yterium.com a écrit :
Quel que soit le dispositif mis en place, il est possible de le contourner avec un script. Sauf à fermer les forum.
Donc, de ce point de vue, il n'y a rien à faire.heu, si, en fait, j'ai jeté un oeil en 1.9.2 et effectivement, il y a un truc louche...
en gros, meme si on ferme le forum, on peut continuer à injecter des messages depuis l'accès public (ils doivent en plus prendre le statut "prive" dans certains cas si j'ai bien compris le code)
Je confirme, j'ai eut 2 sites SPIP sans forum spammés...
bon, disons alors que ca devrait aller mieux en SPIP 2.0 ...
Cédric