Modo corretto per indirizzare gli spammer su pagine come la registrazione dell'utente, il recupero della password, ecc

Naviga le tue risposte
2

Qual è il modo migliore per gestire lo spam su pagine come la registrazione dell'utente o il recupero della password? Non sto chiedendo se lockout un utente per alcuni minuti o come montare un captcha . Sono interessato a sapere come indirizzare gli spammer.

Ho letto che è sbagliato scegliere come target un utente tramite:

  1. IP dato che molti utenti condividono un IP comune (ad esempio utenti connessi allo stesso wifi, utenti su un proxy, ecc.)

  2. Session e Cookies poiché gli utenti possono semplicemente chiudere i browser aperti e non consentire i cookie

Quindi, come faccio a indirizzarli in modo da poter implementare sistemi di prevenzione dello spam adeguati? Penso che sarebbe molto facile per uno spammer usare semplicemente il modulo di registrazione o di recupero della password per eliminare le e-mail di conferma del mio sito, il che risulterebbe per gli utenti che contrassegnano le e-mail come spam e impilano il server con richieste non necessarie. Qualche idea?

    
posta Jo E. 16.01.2014 - 10:21
fonte

1 risposta

3

Hai ragione riguardo alle tue ipotesi su "cosa è male", ma quando ti trovi di fronte a questo tipo di problemi devi farti diverse domande:

  1. Quanti utenti dello stesso IP chiederanno di ricordare la loro password?
  2. La mia soluzione funziona abbastanza bene? (tempo-sforzo / soluzione)
  3. Questo è davvero un rischio nel tuo sistema?

Credo che il modo migliore per affrontare questo problema sia una soluzione euristica. La cosa migliore da fare è studiare quanti utenti usano questo sistema al giorno e quante petizioni hai di solito. Una volta fatto questo, puoi automatizzare un allarme in modo che ti invii una e-mail quando il tuo algoritmo trova traffico sospetto.

Inoltre, il blocco della pagina (come suggerito) impedirà agli utenti malintenzionati di sfruttare questa pagina e in effetti si stanno attenuando gli altri problemi.

Prendi in considerazione anche altre azioni:

  1. impostando alcune soglie come: "massimo 2 mail al giorno per il recupero della password per l'utente".
  2. utilizzando diverse e-mail per azioni diverse (nel caso in cui ne contrassegnino uno come spam).
  3. aggiunta di testo nell'e-mail in modo che gli utenti siano in grado di identificare se qualcuno sta tentando di hackerarli.
  4. altri?

Come regola generale e quando si affrontano problemi di sicurezza, non tentare mai di sovradimensionare un problema, considerare sempre il rischio (probabilità di materializzazione di una minaccia rispetto all'impatto sulla propria attività). Le soluzioni piccole e facili sono in genere le migliori se affrontano abbastanza bene una vulnerabilità. Considera sempre il compromesso tra sicurezza e usabilità.

Spero che questo ti aiuti.

(Sentiti libero di aggiungere qualsiasi correzione di grammatica / sintassi poiché l'inglese non è la mia lingua madre).

    
risposta data 16.01.2014 - 10:39
fonte

Leggi altre domande sui tag

Come selezionare la corretta suite di crittografia SSL per hardware a basso consumo? Le implicazioni sulla sicurezza della concessione della cartella del gruppo di utenti di IIS modificano le autorizzazioni