Come posso proteggere il modulo di registrazione nel mio sito web? È necessaria una prevenzione speciale contro lo spam?

Naviga le tue risposte
1

Ho difficoltà a scrivere un modulo di iscrizione sicuro per il mio sito web. (Il mio sito è una sorta di galleria di immagini, ho conoscenza in html, javascript, msql e php)

So che esiste una tattica per proteggere i moduli di accesso tramite il controllo e la memorizzazione dei tentativi di accesso non riusciti, ma devo proteggere il mio modulo di registrazione allo stesso modo? (È una stupida idea registrare le richieste di iscrizione e bannare ip-s se qualcuno invia troppe richieste?) Qualcuno "spam register" il mio modulo di iscrizione? È un attacco comune?

All'inizio pensavo di utilizzare ReCaptcha , ma molti siti dicono che non è necessario in questo caso ed è molto fastidioso per gli utenti normali (umani).

Il mio secondo pensiero era una tabella del database : la memorizzazione dei tentativi di accesso e di IP dell'utente, per evitare troppe registrazioni, ma non è "troppo" la sicurezza? (La mia preoccupazione principale su questo è la costante verifica del database / processo di scrittura perché utilizza risorse)

PS: il mio sistema invia una richiesta di conferma via e-mail prima di consentire agli utenti di essere registrati ma non ancora confermati nel database, quindi (se lo desidero) posso registrare centinaia di utenti fasulli (con qualche tipo di programma automatico) solo per divertimento che è male.

    
posta Catso 26.04.2018 - 12:24
fonte

2 risposte

0

Lo spam oggi è fornito come servizio - il cliente paga i suoi soldi e una rete distribuita di macchine controllate dallo spammer fa il suo lavoro. Inoltre utilizzano i proxy per diversificare ulteriormente i loro IP.

Su un forum che corro, ogni volta che indeboliamo il captcha per qualsiasi motivo, riceviamo 50-100 spammer in un giorno; provengono da 50-100 IP diversi, anche se consentiamo registrazioni multiple da un IP. Bloccarli non sembra fare nulla (e occasionalmente finisce per bloccare alcuni utenti legittimi). Uno spambot non tenterà di registrare ore dallo stesso IP o di registrarne un centinaio di account.

ReCaptcha v2 è abbastanza resistente agli spambots. L'unica soluzione che abbiamo scoperto che blocca completamente lo spam automatico è un quiz di inserimento del testo sulle regole del nostro sito - ma questo non è certamente necessario per una galleria di immagini. Potrebbe essere utile come backup per gli utenti che non riescono a far funzionare ReCaptcha.

Limitare il numero di tentativi di registrazione consecutivi dallo stesso IP può essere ancora utile, anche se solo contro gli script kiddie. Basta mantenere il periodo di blocco ragionevolmente breve, e si può semplicemente cancellare gli IP una volta scaduto. Per registrare i tentativi, un semplice registro di testo dovrebbe essere sufficiente.

    
risposta data 26.04.2018 - 13:06
fonte
0

Potresti provare Invisible ReCaptcha . Dovrebbe essere il miglior compromesso tra sicurezza e convenienza. Normale ReCaptchaV2 è anche abbastanza semplice, se hai bisogno di maggiore sicurezza.

    
risposta data 26.04.2018 - 13:04
fonte

Leggi altre domande sui tag

Quali organizzazioni hanno facce 1B per addestrare una rete neurale di riconoscimento facciale? [chiuso] Come impedire a una rete di gestione di accedere ai dati di rete? [chiuso]