Complexifier l'inscription - Page 1

Hello,

En ce moment, des bots (en supposant que ce soit des bots) s'inscrivent tous les jours pour poster de la pub dans des vieux topics remontés pour l'occasion. Je ne sais pas trop ce qui explique pourquoi il y en a tout à coup autant, mais à la longue ça devient un peu chiant à nettoyer.

Est-ce qu'il serait possible de mettre en place une validation des comptes plus efficace que l'actuelle, puisqu'aujourd'hui tous les bots de spam savent recevoir un mail et cliquer sur un lien ?

Merci

recaptcha n'étant qu'une demi solution vu qu'apparemment pas mal de bots savent les lire maintenant.

Et puis recaptcha c'est google donc c'est le mal, ça coûte pas plus cher d'utiliser n'importe quelle lib existante pour héberger ses propres captcha chez soi et il y a l'embarras du choix ^^

J'ai quand même l'impression que, dans la plupart des cas, ce ne sont pas des bots... donc à part mettre en place un système vraiment complexe (ou, comme déjà évoqué, n'autoriser ni signature ni liens dans un post en dessous de 5 posts), je ne vois pas trop de solution :/

En fait j'en suis pas si sûr. Les spams me semblaient étonnement humains dans certains cas, en plus d'être plus ou moins en rapport avec le topic dans lequel ils avaient été ajoutés, du coup j'ai googlé un peu. La plupart du temps, ce sont en fait des bouts de texte repompés d'autres posts.

C'est assez intelligent comme méthode, et je serais curieux de voir comment ça fonctionne, mais à mon avis ça reste une opération de bot.

Pourquoi ne pas faire comme sur certains forums (enfin si j'ai bien compris...) et mettre en place des limitations arbitraires (mais raisonnables) aux nouveaux inscrits ?
Genre pas de signature avant 10 posts; Pas de lien dans la signature avant 100 posts; Pas d'images ou de liens externes ou de [google] dans les posts avant 50 posts.
Et puis peut-être un "antiflood" (la bombe) plus agressif pour les utilisateurs récents (mais sans devenir abusif non plus), genre une limite du nombre de post ou de sujets créés (style 1 sujet par jour si moins de 20 post) désactivable par un admin si l'utilisateur est "approuvé"...
Bon après ça ne les empêchera pas de s'inscrire mais ça limiterait l'intérêt.

D'après l'expérience du site web de ma guilde World of Warcraft, le système à la fois le plus simple et le plus efficace pour empêcher les bots de s'inscrire est celui d'une question bien choisie à répondre dans le formulaire d'inscription.

La simple question : "Quel est le nom de la guilde?" a réussi à bloquer tous les bots alors que les Captcha et autres techniques tordues auxquelles j'avais pensé pour les tromper, se sont révélés inefficaces.

on peu aussi tester de faire pointer la validation du form vers une fausse adresse et faire la vrai requête par du js

Sinon il faut mettre un lien de validation qui infirme l'inscription plutôt que la confirmer ##modvil##

GoldenCrystal (./6) :
Pourquoi ne pas faire comme sur certains forums (enfin si j'ai bien compris...) et mettre en place des limitations arbitraires (mais raisonnables) aux nouveaux inscrits ?
Genre pas de signature avant 10 posts; Pas de lien dans la signature avant 100 posts; Pas d'images ou de liens externes ou de [google] dans les posts avant 50 posts.
Et puis peut-être un "antiflood" (la bombe) plus agressif pour les utilisateurs récents (mais sans devenir abusif non plus), genre une limite du nombre de post ou de sujets créés (style 1 sujet par jour si moins de 20 post) désactivable par un admin si l'utilisateur est "approuvé"...
Bon après ça ne les empêchera pas de s'inscrire mais ça limiterait l'intérêt.

Ou éventuellement l'inverse : le compte est "semi activé" si l'étape captcha/validation email/autre est passée mais il n'est complètement activé (ie suppression des restrictions) que par la validation d'un modo/admin...

r043v (./8) :
on peu aussi tester de faire pointer la validation du form vers une fausse adresse et faire la vrai requête par du js

Pen^2 (./9) :
Sinon il faut mettre un lien de validation qui infirme l'inscription plutôt que la confirmer ##modvil##

Ça fait parti des méthodes tordues que j'avais éssayé. Elles avaient planté la plupart des bots, mais pas tous.

Pen^2 (./10) :
Sinon il faut mettre un lien de validation qui infirme l'inscription plutôt que la confirmer ##modvil##

Envoyer un mail de confirmation contenant N liens avec des commentaires et des effets aléatoires

1. cliquez ici pour ne pas valider http://blzajyhkwgqnkxuh
2. cliquez ici pour infirmer http://sngxsb,jgs
3. cliquez ici pour confirmer votre compte http://www.yaronet/blabla76572Z5AERAYZReya
4. ne pas cliquer ici pour valider http://pwettze, lhds,
5. cliquer ici pour annuler votre inscription http://pwmerujkudyfgbdkh

vince (./10) :
Ou éventuellement l'inverse : le compte est "semi activé" si l'étape captcha/validation email/autre est passée mais il n'est complètement activé (ie suppression des restrictions) que par la validation d'un modo/admin...

J'avais proposé un truc du même style à Bob, mais il m'a dit que ce serait trop lourd à gérer pour les modos/admins.

Justement, on peut se poser une question simple : statistiquement, y'aurait-il plus de réflexion/temps passé pour valider des comptes ou pour les bloquer et supprimer les sujets de spams qui y ont été associés ?

Je pense qu'avec une petite interface simplifiée, ça serait plus simple de valider les comptes que de devoir pister les topic de pubs puis les fermer, puis bloquer le compte associé...

C'était mon argument aussi (dans mon idée, les nouveaux inscrits pouvaient poster, mais leurs posts resteraient invisibles tant que le compte n'avait pas été validé par un modo/admin - du coup ça apporterait une solution définitive au problème, avec un effet dissuasif en plus pour les spammeurs humains et certains kikoolols ), ça me semblait plus pratique et rapide pour eux, mais Zephyr pensait le contraire. Et puis faut convaincre yAro de développer ça, et ça c'est une autre paire de manches

Zerosquare (./13) :
J'avais proposé un truc du même style à Bob, mais il m'a dit que ce serait trop lourd à gérer pour les modos/admins.

Zerosquare (./15) :
Et puis faut convaincre yAro de développer ça, et ça c'est une autre paire de manches

C'est pour cela que je pense que le système de la question serait le plus adapté. Il a le triple avantage d'être efficace(d'après mon expérience), très simple à programmer et de ne nécessiter aucune modération supplémentaire.

Même sur notre petit forum, la modération humaine des inscriptions faisait chier tout le monde: le modérateur comme les inscrits, alors j'imagine le bordel que ça serait sur Yaronet.
Je ne pense pas que les spammeur humains soient nombreux (en tout cas je n'en ai jamais vu sur notre forum)

On peut aussi envisager de combiner plusieurs systèmes... (genre une question et au cas où ça ne passe pas alors intervention admin/modo)

En général on prend une question bateau. Si une personne n'a pas le QI suffisant pour y répondre, il ne devrait tout simplement pas être autorisée de poster.

Mais ça ne fonctionne que parce qu'il n'y a pas de script spécifique pour ton forum dans "Spam Studio 2010" (Bon ok les spammeurs tournent sous Linux et le service s'appelle "spamd" ).
Ça sera aussi le cas pour yAronet au début, et peut être pour longtemps vu que ce n'est pas une cible très intéressante, mais on ne peut pas vraiment en être sûrs.
Et je pense que quelques uns des spammeurs qu'on a eu sur yAronet devaient être des spammeurs humains. (Après vu l'efficacité de nos modérateurs, je n'ai probablement pas vu beaucoup de spams passer sous mon nez... Alors qui sait...)

la cloche est relativement efficace.

et mettre des timing dans l'histoire ?
on valide depuis le mail avant 5 minutes boom ca détruit le compte, entre 5 minutes et 20 minutes ca l'active et après 20 minutes, le compte est supprimé automatiquement ?

GoldenCrystal (./19) :
Mais ça ne fonctionne que parce qu'il n'y a pas de script spécifique pour ton forum dans "Spam Studio 2010" (Bon ok les spammeurs tournent sous Linux et le service s'appelle "spamd" ).

Notre forum était à la base un PhpBB donc certainement dans le top 3 de "Spam studio 2010", mais il n’empêche que si la question est bien choisie, le robot ne saura pas y répondre.

Et malgré la fréquentation de Yaronet, je doute fortement que quelqu'un fasse jamais un script de spam spécifique.

r043v (./22) :
et mettre des timing dans l'histoire ? on valide depuis le mail avant 5 minutes boom ca détruit le compte, entre 5 minutes et 20 minutes ca l'active et après 20 minutes, le compte est supprimé automatiquement ?

Perso un forum qui me demande, d'attendre 5 minutes avant de pouvoir poster a de grandes chance de ne jamais me voir

Oui je me doutes bien que c'était un truc générique, mais par script spécifique, je voulais dire "cas special", si tu préfères... ^^
un cas special de une ligne pour ton forum à toi ne doit pas être très complexe à ajouter, il faut juste que quelqu'un prenne la peine de le faire (Donc déjà qu'il s'en rende compte ^^)
Pareil pour yAronet en fait... Ça peut prendre des années avant qu'un vrai spammeur s'y intéresse, mais... (Engeneral ils aiment bien les tout petits forums où tout le contenu est public ^^)

r043v (./8) :
on peu aussi tester de faire pointer la validation du form vers une fausse adresse et faire la vrai requête par du js

Pas efficace du tout (les bots savent exécuter du JS), et en plus ça bloque l'inscription des gens qui n'activent pas le JS (il y en a sur yN) :/

squalyl (./20) :
la cloche est relativement efficace.

Mais pour nous c'est chiant

r043v (./21) :
et mettre des timing dans l'histoire ?on valide depuis le mail avant 5 minutes boom ca détruit le compte, entre 5 minutes et 20 minutes ca l'active et après 20 minutes, le compte est supprimé automatiquement ?

À mon avis, un vrai utilisateur est plus susceptible de mettre 20 minutes à valider son inscription qu'un bot qui doit plutôt faire ça dans les 10 secondes ^^

La question c'est effectivement efficace et facile à mettre en place. Les liens multiples/choix multiples & co, ça élimine X% des bots (en fonction du nombre de faux liens, logique), mais pas tout, donc c'est pas top.

S'il n'y a que des faux liens, c'est efficace à 100%

sauf pour le bot pas capable d'aller lire un mail

Ah oui, tiens

rien n'empêche aussi de gruger, on s'inscrit, un mail arrive avec un lien détruisant le compte, et la page s'affichant après l'inscription contiendrais parmi un gros bordel de liens et d'info, un lien pour justement recevoir un autre mail avec cette fois un vrai lien

Ou sinon, demander ce que l'utilisateur pense du _nostub.

ca c'est un anti KK pas un anti bot