¿Cómo puedo proteger el formulario de registro en mi sitio web? ¿Se necesita prevención especial de spam?

1

Estoy luchando para escribir un formulario de registro seguro para mi sitio web. (Mi sitio es una especie de galería de imágenes. Tengo conocimientos en html, javascript, msql y php)

Sé que hay una táctica para asegurar los formularios de inicio de sesión mediante la comprobación y el almacenamiento de los intentos fallidos de inicio de sesión, pero ¿tengo que proteger mi formulario de registro de la misma manera? (¿Es una idea estúpida registrar las inscripciones de registro y prohibir ip-s si alguien envía demasiadas solicitudes?) ¿Alguien "registrará spam" en mi formulario de registro? ¿Es un ataque común?

Al principio estaba pensando en usar ReCaptcha , pero muchos sitios dicen que no es necesario en este caso y es muy molesto para los usuarios normales (humanos).

Mi segundo pensamiento fue una tabla de base de datos : almacenar el usuario ip-s y los intentos de registro, para evitar demasiados registros, pero ¿no es "demasiada" seguridad? (Mi principal preocupación al respecto es el proceso constante de verificación / escritura de la base de datos porque utiliza recursos)

PD: mi sistema envía una solicitud de confirmación por correo electrónico antes de permitir el ingreso de los usuarios, pero aún así los usuarios no confirmados se registrarán en la base de datos, por lo que (si quiero) puedo registrar cientos de usuarios falsos (con algún tipo de programa automatizado) solo por diversión, lo cual es malo.

    
pregunta Catso 26.04.2018 - 12:24
fuente

2 respuestas

0

Spam Today se proporciona como un servicio: el cliente paga su dinero y una red distribuida de máquinas controladas por el spammer hace el trabajo. Además, utilizan proxies para diversificar aún más sus IP.

En un foro que dirijo, cada vez que debilitamos nuestro captcha por cualquier motivo, recibimos 50-100 spammers en un día; provienen de 50-100 IP diferentes, aunque permitimos múltiples registros de una IP. Bloquearlos no parece hacer nada (y ocasionalmente termina bloqueando a algunos usuarios legítimos). Un spambot no intentará durante horas registrarse desde la misma IP, o registrar cien cuentas desde allí.

ReCaptcha v2 es razonablemente resistente a los spambots. La única solución que encontramos que bloquea completamente el correo no deseado automatizado es una prueba de ingreso de texto sobre las reglas de nuestro sitio, pero ciertamente no es necesario para una galería de imágenes. Podría ser útil como una copia de seguridad para los usuarios que no pueden hacer funcionar ReCaptcha.

La limitación del número de intentos de registro consecutivos desde la misma IP puede ser útil, incluso aunque solo sea contra scripts para niños. Simplemente mantenga el período de bloqueo razonablemente corto, y puede eliminar las IP una vez que caduque. Para registrar los intentos, un simple registro de texto debería ser suficiente.

    
respondido por el Therac 26.04.2018 - 13:06
fuente
0

Es posible que desee probar ReCaptcha invisible . Debe ser el mejor compromiso entre seguridad y comodidad. Normal ReCaptchaV2 también es bastante simple, si necesita más seguridad.

    
respondido por el Peter Harmann 26.04.2018 - 13:04
fuente

Lea otras preguntas en las etiquetas