Auteur Sujet: Spam et Phishing par messages privé sur le forum, le 21 avril 2026 (Lu 2383 fois)

vivien · « **Réponse #60 le:** **Aujourd'hui** à 11:30:01 »

Citation de: vivien le Aujourd'hui à 08:33:26

J'ai fait une modification : une personne qui n'a pas encore posté de messages sur le forum n'a le droit qu'à un seul message privé. Cela limite les dégâts.

Autre modification : Le nombre de messages personnels qu'un utilisateur (qui a au moins posté un message sur le forum) peut envoyer en une heure passe de 20 par heure à 10.

C'est cette limitation qui a obligé l'attaquant à créer 414 comptes. Il a donc probablement envoyé 8000 messages en une heure.

J'ai aussi supprimé le corps des messages dans les notifications par mail : De nombreuses personnes réagissent au mail reçu suite à cette notification et cela risque de rendre encore plus compliqué le classement en tant que SPAM des mails émis par le serveur.

Hugues · « **Réponse #61 le:** **Aujourd'hui** à 11:40:15 »

C'est possible de faire valider les créations de compte par admin/modo ? Je me porte volontaire si besoin

vivien · « **Réponse #62 le:** **Aujourd'hui** à 11:59:09 »

Oui, par contre cela remplace l'activation par e-mail et on n'a pas d'info pour savoir si l'inscription est légitime ou pas.

Cela semble plus fait pour les clubs où il y a une liste de personne autorisée à s'inscrire (ex: ceux qui ont payé leur cotisation) et peu de nouveaux membres.

Hugues · « **Réponse #63 le:** **Aujourd'hui** à 12:01:13 »

Pas moyen d'approuver avant de laisser un utilisateur poster ou envoyer des MP ?

alf084 · « **Réponse #64 le:** **Aujourd'hui** à 12:57:06 »

Citation de: vivien le Hier à 22:33:08

Ce soir, on a le droit à un déni de service pour changer un peu.

Des fois, j'hésite à couper #IPv4, car toutes ces merdes, c'est toujours en IPv4, jamais en #IPv6.

Pourquoi ne pas placer le forum derrière Cloudflare ? La mise en place se fait en 10 minutes, ce qui permettrait d'assurer l'essentiel du filtrage et de t'alléger du stress lié à ces attaques à répétition. Est-ce par volonté de garder la maîtrise totale de l'infrastructure que tu restes ainsi ?

vivien · « **Réponse #65 le:** **Aujourd'hui** à 13:20:34 »

Citation de: Hugues le Aujourd'hui à 12:01:13

Pas moyen d'approuver avant de laisser un utilisateur poster ou envoyer des MP ?

A priori non, on peut faire que les messages sur le forum posté soient modérés a priori pour les nouveaux, mais pour les messages privés, outre la limitation à 1 message pour ceux qui n'ont pas posté, on peut mettre des options telles que "Nombre de messages de forum en dessous duquel les utilisateurs doivent entrer un code lorsqu'ils envoient des messages personnels" mais pas sûr que ce code bloque le SPAM.

Je pense que les limitations mises en places sont suffisantes pour bien atténuer le pb, si on était de nouveau ciblé.

Citation de: alf084 le Aujourd'hui à 12:57:06

Pourquoi ne pas placer le forum derrière Cloudflare ? La mise en place se fait en 10 minutes, ce qui permettrait d'assurer l'essentiel du filtrage et de t'alléger du stress lié à ces attaques à répétition. Est-ce par volonté de garder la maîtrise totale de l'infrastructure que tu restes ainsi ?

C'est un peu triste de passer par une plateforme intermédiaire. En plus, pour les vidéos cela poserait pb, Cloudflare limitant à 100 Mo la quantité de données téléchargeable en une requête.