Una forma adecuada de atacar a los spammers en páginas como el registro de usuarios, la recuperación de contraseñas, etc.

Navega tus respuestas
2

¿Cuál es la mejor manera de manejar el spam en páginas como el registro de usuarios o la recuperación de contraseñas? No estoy preguntando si se debe aplicar lockout a un usuario durante unos minutos o cómo colocar un captcha . Me interesa saber cómo me dirijo a los spammers.

He leído que es malo apuntar a un usuario a través de:

  1. IP ya que muchos usuarios comparten una IP común (por ejemplo, usuarios conectados a la misma wifi, usuarios en un proxy, etc.)

  2. Session y Cookies ya que los usuarios solo pueden cerrar los navegadores abiertos y no permitir cookies

Entonces, ¿cómo los dirijo para que pueda implementar sistemas adecuados de prevención de spam? Creo que sería muy fácil para un spammer usar el formulario de recuperación o registro de contraseña para eliminar los correos electrónicos de confirmación de mi sitio, lo que daría lugar a que los usuarios marcaran los correos electrónicos como spam y apilaran el servidor con solicitudes innecesarias. ¿Alguna idea?

    
pregunta Jo E. 16.01.2014 - 10:21
fuente

1 respuesta

3

Tienes razón acerca de tus suposiciones sobre "lo que es malo", pero cuando te enfrentas a este tipo de problemas, debes hacerte varias preguntas:

  1. ¿Cuántos usuarios de la misma ip van a pedir que recuerden su contraseña?
  2. ¿Mi solución funciona razonablemente bien? (tiempo-esfuerzo / solución)
  3. ¿Es esto realmente un riesgo en su sistema?

Creo que la mejor manera de abordar este problema es una solución heurística. Lo mejor que puedes hacer es estudiar cuántos usuarios usan este sistema al día y cuántas peticiones tienes normalmente. Una vez que haya hecho esto, puede automatizar una alarma para que le envíe un correo electrónico cuando su algoritmo encuentre tráfico sospechoso.

Además, el bloqueo de la página (como sugiere) evitará que usuarios malintencionados aprovechen esta página y, de hecho, está mitigando los otros problemas.

Considera también algunas otras acciones:

  1. estableciendo algunos umbrales como: "máximo 2 correos por día para recuperar la contraseña para el usuario".
  2. usando diferentes correos electrónicos para diferentes acciones (en caso de que marquen uno de ellos como spam).
  3. agregar texto en el correo electrónico para que los usuarios puedan identificar si alguien está intentando piratearlos.
  4. otros?

Como regla general y al abordar los problemas de seguridad, nunca intente exagerar un problema, tenga en cuenta siempre el riesgo (probabilidad de materialización de una amenaza frente al impacto sobre su negocio). Las soluciones pequeñas y fáciles suelen ser las mejores si abordan una vulnerabilidad suficientemente adecuada. Considere siempre la compensación de seguridad / usabilidad.

Espero que esto te ayude.

(No dude en agregar cualquier corrección de gramática / sintaxis ya que el inglés no es mi lengua materna).

    
respondido por el kiBytes 16.01.2014 - 10:39
fuente

Lea otras preguntas en las etiquetas

¿Cómo procesar o administrar la clave de cifrado de clave usando HSM? Aislando redes invitadas