FeatherBB

Lighter than a feather.

You are not logged in.

#1 2015-06-27 21:09:52

sklerder
Member
Registered: 2015-06-27
Posts: 15

Encouragements ...

Bonsoir tout le monde.

Bonne idée que ce fork (cette ré-écriture, aussi) de FluxBB.

Comme je l'ai écrit ailleurs (et comme d'autres fidèles de FluxBB version 1.5.x), je ne suis pas confiant sur la suite de FluxBB.

Ce fork est donc une porte ouverte à ceux qui, comme moi, aiment la simplicité, la rapidité et la légèreté de FluxBB.
Les refontes annoncées (système de hooks pour installer des mods, séparation du "moteur" et de la présentation) me paraissent de bon augure.
Mais surtout, le "portage" de FluxBB vers FeatherBB me paraît être une sérieuse garantie pour les futurs ex-utilisateurs de FluxBB 1.5 qui ne voudraient pas partir sur la version FluxBB 2.0 (quant elle sortira :|).

Tes contributions à FluxBB, adaur, sont de plus un gage d'espoir pour l'avenir.

Je ne suis pas le premier à venir supporter ce travail, mais j'espère bien (et je pense) que la liste deviendra longue Smile

Bon courage donc à toi,  adaur, mais également aux développeurs qui viendront t'aider.

Last edited by sklerder (2015-06-27 21:10:38)

Offline

#2 2015-06-28 08:04:47

adaur
Lead developer
From: France
Registered: 2015-06-05
Posts: 94
Website

Re: Encouragements ...

Merci pour ton message! Smile

Je pensais justement à ta mod pour contrer le spam. Je croyais que celle d'Otomatic serait suffisante mais il apparaît que même avec elle, les spammers arrivent à s'inscrire. Peut-être ajouterai-je une option pour une vérification avec StopForumSpam, basée sur ta mod.

Offline

#3 2015-06-28 14:37:47

sklerder
Member
Registered: 2015-06-27
Posts: 15

Re: Encouragements ...

Bonjour Smile

Que les spammeurs arrivent à s'inscrire n'est peut-être pas anormal, il faut voir dans quelles proportions (si c'est une inscription sur 10000 tentatives, c'est tolérable, si c'est une pour 100 tentatives, ça devient inacceptable).

Concernant les mods "antispam", il y a plusieurs alternatives :
- Celle d'Otomatic, donc (VSABR) :
- Celle de Koos, dont je m'étais inspiré (HP+SFS : HoneyPot + StopForumSpam)
- La mienne (SpamBarrier) qui apporte, par rapport à HP+SFS le contrôle auprès des DNS-BL (plus peut-être quelques petites améliorations mineures).

VSABR est très utilisée, efficace, mais comporte le petit inconvénient de ne pas être totalement transparente pour l'utilisateur.

Que ce soit HoneyPot+SFS ou SpamBarrier, son tient dans la méthode HoneyPot, qui est redoutablement efficace, et totalement transparente sauf si on désactive les CSS.
Sur mon forum, sur plus de 24000 tentatives d'inscriptions (forum très peu fréquenté) :
- moins de 5 ont réussi à passer au travers.
- sur les 5 ayant passé au travers, 1 ou 2 ont été détectées par SFS.
- aucune n'a été détectée par DNS-BL.

A mon avis, sans trop compliquer les choses, la fonction à implémenter est donc le "HoneyPot Field".
Par contre, je pense :
- que le contrôle antispam ne doit pas faire partie du noyau, mais être sous forme d'une mod.
- que le champ ajouté doit être nommé différemment sur chaque forum, voire même à chaque génération de page (rendre plus difficile la détection du contrôle).
- qu'il faut aussi garder la soumission des détections à SFS.

Sur le dernier point, il y aurait peut-être une discussion à avoir avec pedigree sur SFS.
La méthode de détection/soumission est un peu hors-norme pour SFS, dans la mesure où il n'y a pas effectivement SPAM, mais juste une tentative d'inscription automatisée.
Il y a déjà eu une discussion sur SFS, mais restée sans suite, probablement parce qu'il y a très peu de faux-positifs avec cette méthode de détection. L'idée, lors de cette discussion était de mettre en place un marqueur dans le message de soumission, spécifique à chaque forum, de façon à identifier plus rapidement la source du message.
Comme ce serait une information publique, ça ne peut être la clé API, ni le nom du forum (sinon risque de représailles).

Mais je pense que tu es déjà convaincu, dans la mesure où, à plusieurs occasions, tu as conseillé SpamBarrier Smile

Offline

#4 2015-07-06 19:06:52

adaur
Lead developer
From: France
Registered: 2015-06-05
Posts: 94
Website

Re: Encouragements ...

Merci pour tes pistes (et désolé de ma réponse tardive).

Sur mon forum (wareziens.net), j'ai mis en place ta solution et elle fonctionne sans problème:

12/10/2013 (631 days)
Non SPAM : 7015
Bloqué(s) par le HoneyPot : 1428
Bloqué(s) par SFS : 0
Bloqué(s) par DNSBL : 0

J'ai essayé de la réintroduire ici avec un champ changeant à chaque session PHP, donc en théorie encore plus efficace: https://github.com/featherbb/featherbb/commit/3999af044cf466d2a5ae5d8a69525b5826f34bc5

Sauf que comme tu as pu le voir sur le forum ici, ce fut un désastre que je ne m'explique pas. J'ai donc supprimé cette modification (assez lourde+sessions inutiles) sur la branch de dev et j'ai donc rajouté la mod d'Otomatic: https://github.com/featherbb/featherbb/commit/bf834949db0ff6acf10c211a902fa0533594f49c et toujours beaucoup de bots.

J'ai mis à jour le parser qui avait fait sauter la permission (ou non) de poster des liens et j'ai rajouté la vérification des inscriptions, mais des bots asiatiques trouvaient toujours la faille.

La seule solution qui a semblé les calmer est la vérification StopForumSpam, librement inspirée de ta mod:

	$url = 'http://www.stopforumspam.com/api?ip='. get_remote_address() .'&email='. pun_trim($_POST['req_email1']) .'&username=' . pun_trim($_POST[$user_field]) .'&f=json';
	$data1 = @file_get_contents($url);
	$data = json_decode($data1); 
	// Verify IP, and Email if necessary (Username won't be verified, too many false positive)
	if(($data->ip->appears || $data->email->appears)){
		message('Are you a bot?');
	}

Offline

Board footer

[ Generated in 0.063358 seconds, 8 queries executed - Memory usage: 1.43 MiB (Peak: 1.47 MiB) ]