Archives FluxBB.fr

Filou69

Membre

[Mod] Anti-Bot d'inscription 2.0.1

Auteur : Nathan Dumont (hairymnstr) (Voir la version originale)

Traducteur : Filou69

##
##
##                Titre du mod:  AntiBot
##
##            Version du mod:  2.0.1
##    Fonctionne sur PunBB:  testé: 1.2.10, 1.2.14, 1.2.15, 1.2.20
##           Date de création:  08-11-06
##                         Auteur:  Nathan Dumont (hairymnstr) hairymnstr@gmail.com
##                   Traducteur:  Filou69
##
##                  Description:  Aujoute une image baser sur captcha dans la page
##                                     d'inscription.
##
##                   Affecte BD:  Non
##
##          Fichier à modifier:  register.php
##
##                           Notes:  Ce mod à besoin de la permission d'écriture dans
##                                      le dossier des avatars à apache (/img/avatars/)
##                                     
##
##              Historique:  1.0.1: Added a line to initialise the $code variable which
##                                         was causing error messages on certain server
##                                         configurations.
##                               2.0.0: Changed the text drawing from ttf to a png
##                                         bitmapped font to avoid ttf module errors, plain
##                                         gd plugin is all that's required now.
##                               2.0.1: Re-packaged the many contributed languages,
##                                         and a new font produced by fbianco of
##                                         Swisslinux.org
##
##                  DISCLAMER:  Notez que le mod "AntiBot" n'est pas officelement
##                                       supporté par PunBB. L'installation et la
##                                       modification sont à vos risques et périles.
##                        Sauvegardez votre Base de données et votre FTP
##                                       avant la procédure.
##
##                      Licence:  GPL v3

SCREEN

Télécharger

Dernière modification par Filou69 (25-10-2008 01:12:20)

Blooo

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Bonjour,

je viens d'installer cette mod, elle fonctionne très bien cependant il y a un gros problème,
les lettres à écrire ne sont pas lisibles du tout,
j'ai essayé et sur dix tentatives d'inscriptions, seulement une a réussie, les autres fois j'ai toujours eu le message disant que je n'avais pas recopié les lettres correctement
et le problème engendré par ça, c'est qu'il faut recommencer toute la procédure car sur la page du captcha même si on rafraichi l'écran,  le bouton "s'inscrire" reste grisé

donc ma question est :
comment faire pour rendre les lettres un peu plus lisibles?

merci de votre aide

---

1er Portail Francophone de machines à vapeur, moteurs à air chaud et Bateaux Pop pop
http://www.blooo.fr/forum/index.php Le seul Forum Francophone de Machine à Vapeur et moteurs à air chaud !!!

Blooo

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

oup's! je viens de trouver la réponse
j'ai mis font_old.png à la place de font.png et ça affiche plus lisiblement

avant j'avais ça :

et maintenant j'ai ça:

donc tout est ok

---

1er Portail Francophone de machines à vapeur, moteurs à air chaud et Bateaux Pop pop
http://www.blooo.fr/forum/index.php Le seul Forum Francophone de Machine à Vapeur et moteurs à air chaud !!!

pipotofluto

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Bonjour,

ça fonctionne aussi sauf que j'ai le même problème que toi concernant la lisibilité des lettres.

c'est quoi exactement la manip à faire ?

merci

Blooo

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Bonjour,

ça fonctionne aussi sauf que j'ai le même problème que toi concernant la lisibilité des lettres.

c'est quoi exactement la manip à faire ?

merci

ben comme je le dis dans mon message
"j'ai mis font_old.png à la place de font.png et ça affiche plus lisiblement"

---

1er Portail Francophone de machines à vapeur, moteurs à air chaud et Bateaux Pop pop
http://www.blooo.fr/forum/index.php Le seul Forum Francophone de Machine à Vapeur et moteurs à air chaud !!!

jl

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Bonjour,

J'ai essayé ce mod ... puis je l'ai désinstallé car, à mon avis, il ne sert à rien, si ce n'est à désorienter des robots qui sont programmés pour faire des requêtes POST prédéfinies pour l'inscription sur punbb. Il embête aussi et surtout les humains naïfs qui auraient tendance à entrer les lettres demandées en minuscules et qui se font jeter

Après une affirmation aussi péremptoire, quelques explications s'imposent.
Analysons donc le fonctionnement de ce mod :
1) il génère une chaîne "code" de 6 caractères aléatoires
2) il crée une image contenant ces caractères à partir de l'image font.png
3) il envoie au serveur (dans la requête POST)
- la chaine "code" cryptée (fonction php crypt)
- la chaine entrée par l'utilisateur dans le champ "antibot"
4) Sur réception du post, il verifie que les 2 chaines correspondent

Pour un robot qui aurait connaissance de ce mod, le hack est trivial : envoyer une chaine quelconque de 6 caractères dans le champ "antibot" et son équivalent crypté dans le chanp "code"... et le tour est joué !:lol:

C'est bien parce que les robots d'inscription sont très cons que ça protège un peu... mais on peut faire beaucoup plus simple : en changeant le nom de n'importe quel champ du formulaire dans le fichier register.php, on est tout aussi bien protégé.

Par exemple, j'ai remplacé "req_username" par "req_pseudo" dans ce fichier, et, depuis une semaine, je n'ai pas eu une seule inscription en mode spam, contre 2 ou 3 par jour auparavant

Bon, en espérant que ça servira à quelqu'un sur ce forum,
A une prochaine ...

backdoor

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Salut,

j'ai remplacé "req_username" par "req_pseudo" dans ce fichier, et, depuis une semaine, je n'ai pas eu une seule inscription en mode spam, contre 2 ou 3 par jour auparavant

et tu n'as modifié aucun autre document ?

j'ai perso modifié les champs comme tu l'indiques, et l'inscription fonctionne...

Ca me parait trop beau pour etre vrai

Dernière modification par backdoor (20-04-2009 16:38:52)

jl

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Oui, avec quelques mois de recul, je confirme que cette modif très légère dans le fichier register.php a résolu le problème d'inscriptions indésirables que j'avais précédemment. En effet, en presque 3 mois, je n'ai eu en tout qu'une seule inscription suspicieuse , contre plusieurs par jour auparavant.

Et comme mon site est celui d'une petite association dont les membres ne sont,  pour la plupart d'entre eux, pas très à l'aise avec l'utilisation d'internet et des forums, l'ajout d'un champ de saisie supplémentaire pour l'inscription avec des lettres et chiffres à recopier, constituait une barrière presque insurmontable...
C'est la raison pour laquelle le mod anti-bot ne me convenait pas : j'ai donc cherché une manière plus simple de faire une barrière à peu près aussi efficace contre les robots...

Comment ça marche ?
Comme beaucoup d'autres fichiers de punbb (ou fluxbb), "register.php" contient 2 parties:
- un formulaire en html
- le traitement de ce formulaire en langage php

Le point important est qu'un champ du formulaire ait le même nom dans la partie formulaire et dans la partie traitement. C'est pourquoi un simple rechercher/remplacer sur un nom de champ obligatoire du formulaire est sans risque (tant qu'on utilise un nouveau nom qui n'est pas utilisé dans le même formulaire, bien sûr !).

Et le fait qu'un artifice aussi simple suffise à bloquer les robots d'inscription qui nous embêtent, montre que la plupart de ceux-ci ne sont pas sophistiqués et se contentent de poster des formulaires d'inscription prédéfinis pour un forum donné. Quelque part, c'est rassurant !

@backdoor, comme tu as fait la modif sur ton forum, pourras tu nous dire si elle est aussi efficace chez toi ?

jl

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

@citron_poulpe,
la description complète et exacte du mod est:
1) ouvrir le fichier "register.php" dans un éditeur de texte
2) remplacer toutes les occurrences de "req_username" par "req_pseudo" (ou par req_ce_que_tu_veux")
3) enregistrer le fichier

C'est tout

backdoor

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Salut,

j'ai eu une inscription hier mais impossible de dire si c'etait avant ou apres la modif du register.php

Je reviens vous en parler en fin de semaine ...

Par contre, jolie analyse du mod !!

backdoor

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

j'ai eu une inscription hier soir, peux tu me dire quels sont les champs obligatoires qui peuvent être renommés dans le formulaire du register.php ...?

Pense que tu que de rajouter le mod captcha en plus servirait à quelque chose ?

Merci

oldie-2

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Bonjour,

on se trouve dans la discussion dédiée à une mod et celle-ci dérive sur une solution alternative ... pas très sympa pour l'auteur de cette mod.

backdoor

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Moyennement d'accord, car dans mon approche j'essai de combiner ce mod avec d'autres manips afin de la rendre plus fiable ...

Autant partager ce qu'on arrive à faire dans ce topic, non ?

jl

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

on se trouve dans la discussion dédiée à une mod et celle-ci dérive sur une solution alternative ... pas très sympa pour l'auteur de cette mod.

Ce que tu dis est tout à fait vrai, même s'il peut être utile pour les utilisateurs des forums d'avoir des appercus de solutions diverses pour un problème donné.

J'ai donc ouvert ce sujet pour continuer nos échanges dans un cadre plus neutre...

Dernière modification par jl (23-04-2009 23:01:52)

MeSKo

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Bonsoir à tous,

J'ai une petite erreur qui apparait dans mon register.php

Warning: chmod() [function.chmod]: Operation not permitted in /home/realzone/public_html/forum/register.php on line 350

Ma ligne 350 correspond à la ligne ci-dessous:

chmod("img/avatars/secpic.png",0666);

Je sais que ça vient du chmod (que j'ai d'ailleurs trafiqué dans tous les sens).

Voila si quelqu'un sait quoi faire merci

MeSKo

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Up!

Je sias que ça vient du chmod mais de ou... Bonne question!

Le dossier img/avatars est bien en 777

L'image secpic.png elle en 666.

Et le dossier img en 755

Wan

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Bonjour,

J'ai essayé ce mod ... puis je l'ai désinstallé car, à mon avis, il ne sert à rien, si ce n'est à désorienter des robots qui sont programmés pour faire des requêtes POST prédéfinies pour l'inscription sur punbb. Il embête aussi et surtout les humains naïfs qui auraient tendance à entrer les lettres demandées en minuscules et qui se font jeter

Après une affirmation aussi péremptoire, quelques explications s'imposent.
Analysons donc le fonctionnement de ce mod :
1) il génère une chaîne "code" de 6 caractères aléatoires
2) il crée une image contenant ces caractères à partir de l'image font.png
3) il envoie au serveur (dans la requête POST)
- la chaine "code" cryptée (fonction php crypt)
- la chaine entrée par l'utilisateur dans le champ "antibot"
4) Sur réception du post, il verifie que les 2 chaines correspondent

Pour un robot qui aurait connaissance de ce mod, le hack est trivial : envoyer une chaine quelconque de 6 caractères dans le champ "antibot" et son équivalent crypté dans le chanp "code"... et le tour est joué !:lol:

C'est bien parce que les robots d'inscription sont très cons que ça protège un peu... mais on peut faire beaucoup plus simple : en changeant le nom de n'importe quel champ du formulaire dans le fichier register.php, on est tout aussi bien protégé.

Par exemple, j'ai remplacé "req_username" par "req_pseudo" dans ce fichier, et, depuis une semaine, je n'ai pas eu une seule inscription en mode spam, contre 2 ou 3 par jour auparavant

Bon, en espérant que ça servira à quelqu'un sur ce forum,
A une prochaine ...

J'ai personnellement appliqué cette petite modif extrèmement simple et ça marche impéccable ! Plus une seule inscription indésirable !
Vraiment génial cette trouvaille !
La simplicité avec une telle efficacité, c'est beau ! Merci pour l'astuce ! :canon:

jyves

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

@citron_poulpe,
la description complète et exacte du mod est:
1) ouvrir le fichier "register.php" dans un éditeur de texte
2) remplacer toutes les occurrences de "req_username" par "req_pseudo" (ou par req_ce_que_tu_veux")
3) enregistrer le fichier

C'est tout

Bonjour JL
Est-ce que ceci est toujours valable avec la dernière version de Fluxbb ?
j'avoue mon étonnement qu'on soit confronté au spam et qu'il n'y ait pas de solution intégrée pour le prévenir ? ok l'outil est open source. Bon petite déception de ce côté là... d'autant plus qu'en vacances actuellement et j'arrive plus à récupérer mon mdp administrateur. Bref, je garde le moral au beau fixe !

Mpok

Néo Admin

Re : [Mod] Anti-Bot d'inscription 2.0.1

j'avoue mon étonnement qu'on soit confronté au spam et qu'il n'y ait pas de solution intégrée pour le prévenir ?

Parce qu'une solution "intégrée" signifie pas de solution du tout...
Les robots de spam sont certes des robots peu intelligents, mais ils sont programmés par des personnes qui elles, sont intelligentes. Si on intègre une solution globale au spam au code source, elle sera contournée en quelques jours/semaines.

jyves

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Hello, j'ai nettoyé les 200 spam ayant tapé l'incruste sur mon forum et fait la manip préconisée. Merci pour vos réponse, qui me permettent de mieux comprendre le comment du pourquoi. A bientôt !

SolykZ

Membre

Re : [Mod] Anti-Bot d'inscription 2.0.1

Parce qu'une solution "intégrée" signifie pas de solution du tout...
Les robots de spam sont certes des robots peu intelligents, mais ils sont programmés par des personnes qui elles, sont intelligentes. Si on intègre une solution globale au spam au code source, elle sera contournée en quelques jours/semaines.

Ce n'est pas faux. Ça me fait penser à Linux, un des arguments quant à sa sécurité est qu'il y a tellement de possibilités vis-à-vis de ce qui est installé ou non qu'il est difficile de cibler avec exactitude ce qui est disponible et donc, où attaquer.

Avec un peu d'imagination, on peut se dire que FluxBB est pareil avec ses mods : on ne sait pas prévoir à l'avance qui a moddé quoi, donc il devient plus difficile pour un spammeur de produire une solution générique. (-:

---

I'm an programmeur
I'm a programer
...I write code.