Бот обошел защиту регистрации

Единичный случай, но как-то напрягло...

 
Посетитель
small user social cms
Сообщений: 13
Сегодня на сайте saxap.tv таки удалась регистрация боту. Его потом забанило, но все-таки прецедент есть.
Вот из лога сервера:

77.40.97.113 - - [22/Feb/2013:16:16:35 +0400] "GET /includes/codegen/cms_codegen.php HTTP/1.1" 200 3051 "http://saxap.tv/registration" "Mozilla/5.0 (Windows NT 6.1; rv:18.0) Gecko/20100101 Firefox/18.0"
77.40.97.113 - - [22/Feb/2013:16:17:18 +0400] "POST /registration/add HTTP/1.1" 303 - "http://saxap.tv/registration" "Mozilla/5.0 (Windows NT 6.1; rv:18.0) Gecko/20100101 Firefox/18.0"
Я сам дизайнер и понятия не имею что там и как, но напрягло.

Кто подскажет как он это сделал?
Если потребуется, то могу предоставить полный лог.
Редактировалось: 1 раз (Последний: 22 февраля 2013 в 21:17)
Есть варианты...
Посетитель
small user social cms
Медаль
Сообщений: 217
MasterMind:
Кто подскажет как он это сделал?
Я так понимаю у вас отключено подтверждение по e-mail?
Реклама
cms
Посетитель
small user social cms
Сообщений: 13
mr.Z:

Я так понимаю у вас отключено подтверждение по e-mail?

Да, в этом проблема?
Редактировалось: 1 раз (Последний: 22 февраля 2013 в 22:11)
Есть варианты...
Посетитель
small user social cms
МедальАвторитет форумаКубок зрительских симпатийПочетный донор проекта
Сообщений: 2928
MasterMind:
Да, в этом проблема?
для сегодняшних возможностей даже это не проблема)
но подтверждение желательно!
чем сложнее процедура тем дороже обойдется регистрация)
Посетитель
small user social cms
Сообщений: 13
reload:

для сегодняшних возможностей даже это не проблема)
Я понимаю, что сломать можно всё, и цена взлома должна быть меньше чем стоимость полученного, но хотелось бы быть уверенным, что регистрация это максимум, чтобы без взлома админа...
Есть варианты...
Посетитель
small user social cms
МедальАвторитет форумаКубок зрительских симпатийПочетный донор проекта
Сообщений: 2928
Взлом и полуавтоматическая регистрация, это совсем разные вещи! как и разные подходы к уменьшению вероятностей!)
Регистрация - это стандартная процедура которая заложена в функциях движка!
а вот стандартными функциями взломать админа нельзя - так как функции эти не заложены в функционале)
Совсем разные подходы и методы защиты!

Иными словами - регистрация бота это нормально - так как функции движка позволяют пройти регистрацию!
Если бы регистрация была отключена - то другой вопрос)

От ботов никуда не деться - спамеры любят нас))

ps: для усложнения можно ввести подтверждение по номеру мобильного телефона...
pss: но для начала, хотя бы включить подтверждение по почте!)
Редактировалось: 2 раз (Последний: 22 февраля 2013 в 23:12)
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1224
reload:
ps: для усложнения можно ввести подтверждение по номеру мобильного телефона...
pss: но для начала, хотя бы включить подтверждение по почте!)
Есть вариант Позвони админу и спроси код активации)))
Посетитель
no avatar
Медаль
Сообщений: 473
Антикапча - минутное дело на самом деле.
Solver Web - создание и продвижение сайтов!
Модератор
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1341
malanas:
Попробуйте SimplaCaptcha.
Красиво, удобно для юзера, но "сломано" еще году в 2008 (если не ошибаюсь)...
P.S. хотел найти статью на habrahabr.ru на эту тему (описан был подробный способ обхода), но что-то не смог..
Тут дело простое: кто-то "защищается" - кто-то "нападает"... Не найти универсального средства "навсегда", даже если защита "самописная", но Ваш сайт представляет определенный интерес - обойдут со временем... и придется искать новую...
почему я задаю мало вопросов? потому, что на 90% из них уже кто-то ответил...
Посетитель
small user social cms
Сообщений: 13
Soulpest:

Не найти универсального средства "навсегда"
Подумываю админку на htaccess закрыть =))
Есть варианты...
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 381
MasterMind:
Подумываю админку на htaccess закрыть =))

Хороший способ!
Можно еще на папку admin пароль поставить, как здесь
Посетитель
small user social cms
Медаль
Сообщений: 473
MasterMind:
Сегодня на сайте saxap.tv таки удалась регистрация боту. Его потом забанило, но все-таки прецедент есть.
Интересно где из лога видно что это бот ? ну Россия, ну пул, так и что ? Может я чего то не понял, но причем тут админка ?
Если тебе роют яму - не мешай, закончат - сделаешь себе бассейн.
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.