Jump to content

[SECURITE] SPAM Compte Client : solution [1.3 -> 1.7]

doekia
 Share

Recommended Posts

Eolia Grand Master

Eolia

Posted
Posted

Parce que isName n'est pas utilisé que pour les clients cela peut-être bloquant dans certaines configurations.

Nous refusons de bloquer des fonctionnalités en corrigeant un manque (ce qui n'a pas été le choix de Prestashop, mais bon...)

  • Like 2
Link to comment
Share on other sites
  • Replies 447
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

doekia
doekia

Depuis le 03-MAI-2019, la version 1.6.1.24 intègre ce patch. Si rien ne vous en empêche, Mettez à jour.   Si vous continuez car vous ne pouvez pas mettre à jour. Assurez vous d'utiliser un

doekia
doekia

La même chose s'applique au 1.4 et 1.3 Il faut seulement adapter cette section dans Customer.php protected $fieldsValidate = array('secure_key' => 'isMd5', 'lastname' => 'isName

doekia
doekia

Je n'ai rien vendu et vu le nombre de vues/download sur area51 soit sûr que j'aurais fait un paquet. Tu trouves la formule rude alors qu'il n'y a que 5 lignes a changer ce qui devrait être à mon

Posted Images

doekia Community Regular

doekia

Posted
  • Author
Posted

Parce que historiquement cette fonction existe depuis 10 ans telle quelle, que de nombreux module sont susceptible de l'avoir utiliser et dépendre de son fonctionnement, que du code coeur pareil (employee firstname/lastname par exemple).

Socolissimo par exemple dans adresse ajout le non du point relais au travers de cette fonction.

 

  • Like 2
Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
  • Author
Posted
il y a 2 minutes, Eolia a dit :

Parce que isName n'est pas utilisé que pour les clients cela peut-être bloquant dans certaines configurations.

Nous refusons de bloquer des fonctionnalités en corrigeant un manque (ce qui n'a pas été le choix de Prestashop, mais bon...)

Si ils ont également admis qu'il valait mieux limiter les effets de bord - c'est maintenant isCustomerName dans le PR qui devrait être intégré dans la prochaine version

Link to comment
Share on other sites
Jean Francois G Contributor

Jean Francois G

Posted
Posted (edited)

et est ce normal que si je supprime un client avec autorisation de reinscription tout est ok, mais si j'interdit la réinscription j'ai "validation function not found iscustomername" ? 

(peut etre que la réponse a déja été donnée , j'avoue ne pas avoir tout lu des 5 pages par manque de temps:)

Edited by Jean Francois G (see edit history)
Link to comment
Share on other sites
Eolia Grand Master

Eolia

Posted
Posted
il y a 3 minutes, doekia a dit :

Si ils ont également admis qu'il valait mieux limiter les effets de bord - c'est maintenant isCustomerName dans le PR qui devrait être intégré dans la prochaine version

+1 je n'avais pas suivi la fin de ce PR

Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
  • Author
Posted
il y a 2 minutes, Jean Francois G a dit :

et est ce normal que si je supprime un client avec autorisation de reinscription tout est ok, mais si j'interdit la réinscription j'ai "validation function not found iscustomername" ? 

(peut etre que la réponse a déja été donnée , j'avoue ne pas avoir tout lu des 5 pages par manque de temps:)

Normal, sauf ton message d'erreur.

Quelle version exacte?

Link to comment
Share on other sites
Jean Francois G Contributor

Jean Francois G

Posted
Posted

pourtant, voici une partie du fichier validate.php :

*  @author PrestaShop SA <[email protected]>
*  @copyright  2007-2016 PrestaShop SA
*  @license    http://opensource.org/licenses/osl-3.0.php Open Software License (OSL 3.0)
*  International Registered Trademark & Property of PrestaShop SA
*/

class ValidateCore
{
    const ADMIN_PASSWORD_LENGTH = 8;
    const PASSWORD_LENGTH = 5;

    public static function isCustomerName ($name)
    {
        if (preg_match(Tools::cleanNonUnicodeSupport('/www|http/ui'),$name)) {
            return false;
        }

        return preg_match(Tools::cleanNonUnicodeSupport('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u'), $name);
    }
    
    public static function isIp2Long($ip)
    {
        return preg_match('#^-?[0-9]+$#', (string)$ip);
    }

    public static function isAnything()
    {
        return true;
    }

Link to comment
Share on other sites
Jean Francois G Contributor

Jean Francois G

Posted
Posted (edited)

Voila c'est fait j'ai refais mais maintenant l'erreur a changé :

- Je peux maintenant créer un nouveau client sans page blanche, c'est ok

Mais si je supprime un client avec interdiction de se réinscrire j'ai maintenant "Property Customer->lastname is not valid "

est ce que par hasard ce serait justement la vérification du nom qui empecherait de le supprimer (vu qu'il comporte des caractère interdits)?

Edited by Jean Francois G (see edit history)
Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
  • Author
Posted

j'arrive jamais a savoir si vous faites tous des erreur de typos sur le forum ou sur vos ftp. Validate.php pas validate on est d'accord?

Le plus simple est d'appliquer le patch122.php dans 95% des cas ça fait tout tout seul

Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
  • Author
Posted
il y a 1 minute, Jean Francois G a dit :

Mais si je supprime un client avec interdiction de se réinscrire j'ai maintenant "Property Customer->lastname is not valid "

ça c'est parfait en effet le lastname est refusé, c'est pour cela qu'il faut PERMETTRE au client de se réincrire (en fait intégralement supprimer cet email de ton shop)

  • Thanks 1
Link to comment
Share on other sites
loulou66 Rookie

loulou66

Posted
Posted (edited)

Coucou

Merci @doekia et @Eolia  pour ce fix
comme je vois qu'il y en a qui galère à mettre le fix en place vous trouverez sur mon site un petit module gratuit
il suffit juste de l'installer
puis de supprimer les clients SPAM
pensez à vérifier que les surcharges ne soient pas désactiver dans le menu performances.

J'ai rajouter dans le check le point(.) si dans le future il spam avec des url du genre "domain.com" sans le http devant

Tester sur des Prestashop 1.5.6.2 / 1.6.1.23 / 1.7.4.2

@++
Loulou66

Edited by loulou66 (see edit history)
  • Like 1
Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
  • Author
Posted
il y a 5 minutes, loulou66 a dit :

Coucou

Merci @doekia et @Eolia  pour ce fix
comme je vois qu'il y en a qui galère à mettre le fix en place vous trouverez sur mon site un petit module gratuit
il suffit juste de l'installer
puis de supprimer les clients SPAM
pensez à vérifier que les surcharges ne soient pas désactiver dans le menu performances.

J'ai rajouter dans le check le point(.) si dans le future il spam avec des url du genre "domain.com" sans le http devant

Tester sur des Prestashop 1.5.6.2 / 1.6.1.23 / 1.7.4.2

@++
Loulou66

 Attention de ne pas avoir bloqué l'inscription de Georges W. Bush Jr.

  • Haha 1
Link to comment
Share on other sites
DD_DD2 Newbie

DD_DD2

Posted
Posted

Merci Doekia, ça marche impeccable.

Par contre je suis très étonné d'avoir sur ce site des inscriptions spams alors qu'il y a un recaptcha google d'installé ! Et qui fonctionne lors d'une inscription manuelle.

Par où passent-ils dès lors ?

Bonne journée

Link to comment
Share on other sites
Soyons Solidaire Apprentice

Soyons Solidaire

Posted
Posted (edited)
15 hours ago, loulou66 said:

Coucou

Merci @doekia et @Eolia  pour ce fix
comme je vois qu'il y en a qui galère à mettre le fix en place vous trouverez sur mon site un petit module gratuit
il suffit juste de l'installer
puis de supprimer les clients SPAM
pensez à vérifier que les surcharges ne soient pas désactiver dans le menu performances.

J'ai rajouter dans le check le point(.) si dans le future il spam avec des url du genre "domain.com" sans le http devant

Tester sur des Prestashop 1.5.6.2 / 1.6.1.23 / 1.7.4.2

@++
Loulou66

Salut l'ami merci pour ce partage.

Edited by TCHOUPI (see edit history)
  • Like 1
Link to comment
Share on other sites
benneke1984 Newbie

benneke1984

Posted
Posted

Je viens de tomber sur ce topic car j'avais eu le souci aussi.

 

Pour ma part j'ai solutionné le truc en ajoutant un Captcha sur le formulaire de création de compte.  Si quelqu'un est intéressé par le script, je peux toujours le partager (il est basé sur un le script pour ajouter le captcha sur le formulaire de contact qui avait été proposé par Eolia je ne sais plus ou ;-) )

 

Bonne journée à tous !

Link to comment
Share on other sites
Jean Francois G Contributor

Jean Francois G

Posted
Posted (edited)
19 minutes ago, benneke1984 said:

Pour ma part j'ai solutionné le truc en ajoutant un Captcha sur le formulaire de création de compte.  Si quelqu'un est intéressé par le script, je peux toujours le partager (il est basé sur un le script pour ajouter le captcha sur le formulaire de contact qui avait été proposé par Eolia je ne sais plus ou 😉 )

Bonne journée à tous !

Cette solution ne sera que très temporaire, j'ai aussi mis un capcha avec demande de clic sur les images, cela n'a rien empêché du tout car plusieurs inscriptions sont manifestement faites en manuel car, résultat : 130 Inscriptions fake sur le site malgré le Capcha (qui est demandé systématiquement) 

Edited by Jean Francois G (see edit history)
Link to comment
Share on other sites
Jean Francois G Contributor

Jean Francois G

Posted
Posted
1 hour ago, doekia said:

http://area51.enter-solutions.com/snippets/92

Tu l'as vérifié ton captcha? ou une url afin de vérifier ton recaptcha?

 

Oui capcha vérifié. 

Je suis plutôt d'accord avec ton avis de mettre les DEUX solutions, et non pas une seule. En effet, comme tu le précise, il est tellement facile pour les spammers d’embaucher du personnel pour une misère que le capcha n'est plus une barrière si infranchissable que ça. 

De toute façon disons le tout net, c'est uniquement quand j'ai mis le patch que les inscriptions se sont arrétées malgré le capcha. Donc CQFD. 

 

Link to comment
Share on other sites
ksaan Newbie

ksaan

Posted
Posted (edited)
49 minutes ago, Jean Francois G said:

Oui capcha vérifié. 

Je suis plutôt d'accord avec ton avis de mettre les DEUX solutions, et non pas une seule. En effet, comme tu le précise, il est tellement facile pour les spammers d’embaucher du personnel pour une misère que le capcha n'est plus une barrière si infranchissable que ça. 

De toute façon disons le tout net, c'est uniquement quand j'ai mis le patch que les inscriptions se sont arrétées malgré le capcha. Donc CQFD. 

 

En fait pour être précis il y a 2 choses: 
- le spam est effectué par un robot qui utilise votre formulaire de création de client de manière automatisée
- le robot insère dans le nom de famille ou le prénom une URL

Le patch bloque la possibilité de mettre une URL dans le nom de famille ou le prénom. Mais par contre un robot pourrait toujours vous spammer en mettant autre chose que des URLs.
Le reCAPTCHA, quand il est bien conçu est vérifié côté backend et côté frontend, et empêche le spam puisqu'il vérifie que le formulaire est rempli par un humain. Par contre un humain pourrait toujours mettre des URLs dans les noms et prénoms.

Donc pour bien vous protéger contre cette attaque de spam, il vous faut les deux :) par contre le captcha voir comment c'est fait, si c'est 100% JS en effet le robot s'en fiche ^^.

Edit: oups pendant que j'écrivais ça y'a du trolling massif o_O
Edit2: effectivement si le spammer décide d'embaucher des vrais humains pour spammer, le recaptcha c'est foutu 😕

Edited by ksaan (see edit history)
Link to comment
Share on other sites
Eolia Grand Master

Eolia

Posted
Posted
il y a 5 minutes, ksaan a dit :

En fait pour être précis il y a 2 choses: 
- le spam est effectué par un robot qui utilise votre formulaire de création de client de manière automatisée
- le robot insère dans le nom de famille ou le prénom une URL

Le patch bloque la possibilité de mettre une URL dans le nom de famille ou le prénom. Mais par contre un robot pourrait toujours vous spammer en mettant autre chose que des URLs.
Le reCAPTCHA, quand il est bien conçu est vérifié côté backend et côté frontend, et empêche le spam puisqu'il vérifie que le formulaire est rempli par un humain. Par contre un humain pourrait toujours mettre des URLs dans les noms et prénoms.

Donc pour bien vous protéger contre cette attaque de spam, il vous faut les deux :) par contre le captcha voir comment c'est fait, si c'est 100% JS en effet le robot s'en fiche ^^.

Edit: oups pendant que j'écrivais ça y'a du trolling massif o_O
Edit2: effectivement si le spammer décide d'embaucher des vrais humains pour spammer, le recaptcha c'est foutu 😕

Pour le captcha, la solution gratuite js + php est ici (pour les 3 formulaires) https://shop.devcustom.net/fr/content/9-mise-en-place-captcha?content_only=1

  • Like 1
Link to comment
Share on other sites
EsteEstabaLibre Contributor

EsteEstabaLibre

Posted
Posted

Doekia, Viva tú.

Je faire ça: https://area51.enter-solutions.com/snippets/122 

et la prendre d'ici: https://www.ecommjuice.com/como-evitar-registro-cuentas-cliente-spam-prestashop/?fbclid=IwAR0FlyoSN1JkK_xyyJn8y7I7gURzqLXlK2XLl1uEWSQPzzltokOPbGuwISI

Tout a finir avec le message: class Validate is now overrided class Customer is now overrided END

mais ça ne marche pas pour moi. prestashop 1.6.1.6

tres difficile pour moi on Francais. Désolé.

Link to comment
Share on other sites
Mehdi Koundi Newbie

Mehdi Koundi

Posted
Posted (edited)

Sinon, pour éviter de toucher au code, je vous ai fait un petit module gratuitement ici: https://www.aurone.com/prestashop-comment-bloquer-les-inscriptions-spam compatible Ps 1.5.x a 1.7.x

c’est une solution pour ceux qui ne veulent pas de captcha sur le formulaire d’inscription.

C’est fou le nombre de sites PrestaShop touchés par ces robots

cordialement

Edited by Mehdi Koundi (see edit history)
  • Like 1
Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
  • Author
Posted
il y a 56 minutes, esteestalibre a dit :

Doekia, Viva tú.

Je faire ça: https://area51.enter-solutions.com/snippets/122 

et la prendre d'ici: https://www.ecommjuice.com/como-evitar-registro-cuentas-cliente-spam-prestashop/?fbclid=IwAR0FlyoSN1JkK_xyyJn8y7I7gURzqLXlK2XLl1uEWSQPzzltokOPbGuwISI

Tout a finir avec le message: class Validate is now overrided class Customer is now overrided END

mais ça ne marche pas pour moi. prestashop 1.6.1.6

tres difficile pour moi on Francais. Désolé.

It means your file have been patched. It should normaly work as expected.

Do you have override activated (as they should always be) on your shop?

 

Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
  • Author
Posted
il y a 24 minutes, Mehdi Koundi a dit :

Sinon, pour éviter de toucher au code, je vous ai fait un petit module gratuitement ici: https://www.aurone.com/prestashop-comment-bloquer-les-inscriptions-spam compatible Ps 1.5.x a 1.7.x

c’est une solution pour ceux qui ne veulent pas de captcha sur le formulaire d’inscription.

C’est fou le nombre de sites PrestaShop touchés par ces robots

cordialement

Excusez moi mais je ne comprends pas pourqui tous les jours quelqu'un fait un module ... le patch fonctionne parfaitement sans rajouter un module jetable que les gens oublierons justement de jeter.

 

Par ailleurs vous pouvez désormais mettre à jour en 1.6.1.24 qui intègre nativement le patch

  • Like 1
Link to comment
Share on other sites
Eolia Grand Master

Eolia

Posted
Posted
Il y a 12 heures, TCHOUPI a dit :

Salut Eolia, pour le captcha invisible c'est la même démarche ?

Non mais je ne comprends pas...

On donne des solutions simples et éprouvées et vous allez toujours chercher à faire différemment avec des méthodes exotiques sans comprendre ce que vous faites...

Mon unique question est: Pourquoi ???

Link to comment
Share on other sites
Soyons Solidaire Apprentice

Soyons Solidaire

Posted
Posted
11 hours ago, doekia said:

Excusez moi mais je ne comprends pas pourqui tous les jours quelqu'un fait un module ... le patch fonctionne parfaitement sans rajouter un module jetable que les gens oublierons justement de jeter.

 

Par ailleurs vous pouvez désormais mettre à jour en 1.6.1.24 qui intègre nativement le patch

Salut installer des modules comme celui la , ne sert a rien juste créer des merdes, il vaut mieux entre 3, 4 lignes de codes , doekia il n'est pas si gratuit que ça, il faut que tu leurs laisse tes coordonnées + mail ;)

 

Link to comment
Share on other sites
Jean Francois G Contributor

Jean Francois G

Posted
Posted
12 hours ago, Mehdi Koundi said:

Sinon, pour éviter de toucher au code, je vous ai fait un petit module gratuitement ici: https://www.aurone.com/prestashop-comment-bloquer-les-inscriptions-spam compatible Ps 1.5.x a 1.7.x

c’est une solution pour ceux qui ne veulent pas de captcha sur le formulaire d’inscription.

C’est fou le nombre de sites PrestaShop touchés par ces robots

cordialement

Désolé mais il FAUT le capcha en plus de la correction.

Les modules de Capcha sont par exemple utiles pour le formulaire de contact (Spam de messagerie), Pour les commentaires de blogs (pour ceux qui en possède un), et sont de toute façon une première barrière aux tentatives d'accès légères.  Dire que le capcha n'est pas utile si on intègre votre module est une erreur, au minimum. 

Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
  • Author
Posted
il y a 17 minutes, TCHOUPI a dit :

Salut installer des modules comme celui la , ne sert a rien juste créer des merdes, il vaut mieux entre 3, 4 lignes de codes , doekia il n'est pas si gratuit que ça, il faut que tu leurs laisse tes coordonnées + mail ;)

 

Non mais bon c'est pas tant le coté payant/gratuit/marketing/... qui me gène, c'est le fait de finalement brouiller les pistes sur une problématique de sécurité.

En leur ouvrant la braguette et en leur tenant le machin, nous n'aidons personne. Le problème concerne la sécurité, vous ne savez pas faire ou ça vous fait peur, très bien. Payez quelqu'un qui sait (non pas un gustave sur coder.com, ni un mec sur fivecent) - si vous n'avez toujours pas de liste d'intervenant ici qui sont compétents, là je ne peux plus rien pour vous.

Quand je dis nous n'aidons personne, c'est que le fait de n'avoir pas fermé la porte sur tous les PS de la terre, continue de donner du grain à moudre au robots spammer. Nos boutiques sont protégés mais consomment de la ressource pour cela. Si le signal que la faille n'existe plus était clair. Ils (les hackers) passeraient à une autre cible plus facile et nous ficheraient la paix.

Aux bigottes et autre moralisateurs de toute sorte, je ferais remarquer que ici même, il y a 2ans, j'ai posté gratuitement http://area51.enter-solutions.com/snippets/74 (comme tout ce qui concerne la sécurité que je mets toujours à dispo), n'a pas tardé d’apparaître 1001 modules dit de recaptcha vendu,gratuit,tutos,blog,youtube, ... dont plus de 90%, n'ayant acquit aucune compétence sur le sujet ne sont que des leurres. 1 an plus tard la vague à recommencé - et répétitas...

Sans oublier les temps de réaction de l'équipe "sécurité" de la team. Sur celle-ci, attaque commencé mondialement le 19 avril, patch releasé le 3 mai.

Et j'ose même pas imaginer les solutions gratuite,donation,youtube,tutos qui ont vu le jour. Des trucs qui vont de changer l'url simplifié dans SEO&URL, .... à achetez un module recaptcha sur addons tel que mentionné dans la com officielle du 25/04 http://build.prestashop.com/news/fighting-against-spamming-again

  • Like 2
Link to comment
Share on other sites
Mehdi Koundi Newbie

Mehdi Koundi

Posted
Posted
23 minutes ago, Jean Francois G said:

Désolé mais il FAUT le capcha en plus de la correction.

Les modules de Capcha sont par exemple utiles pour le formulaire de contact (Spam de messagerie), Pour les commentaires de blogs (pour ceux qui en possède un), et sont de toute façon une première barrière aux tentatives d'accès légères.  Dire que le capcha n'est pas utile si on intègre votre module est une erreur, au minimum. 

Hello Jean François,

oui du point de vue « idéal du monde de développeur » le captcha est indispensable... par contre du point de vue marketing et UX le captcha n’est pas l’ideal... le module que je propose ne s’applique que au formulaire d’ouverture de compte qui est l’objet de beaucoup de spams ces derniers jours... son principe est simple, empêcher de saisir une URL dans le champs nom ou prénom (qui est la finalité de cette campagne De spam).

c’est 4 lignes de code simples, facilement intégrable par n’importequel Dev, mais ce module n’est pas pour les devs, c’est pour ceux qui ne s’y connaissent pas en code ou en dev Prestashop...

maintenant pour tous les moralisateurs: chacun est libre d’agir comme il le souhaite et est responsable de ses propres actions, moi j’ai juste développé ce petit module que j’ai installé pour tous mes clients, et je le propose gratuitement aussi au grand public. Chacun est libre de prendre ou pas ;-)

bonne journée à tous, y compris les moralisateurs, je vous aime tous chère communauté PrestaShop :-) 

  • Like 1
Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
  • Author
Posted
il y a 54 minutes, Mehdi Koundi a dit :

par contre du point de vue marketing et UX

La ceinture de sécurité n'est pas idéale avec ton costard et pourtant

il y a 55 minutes, Mehdi Koundi a dit :

c’est pour ceux qui ne s’y connaissent pas en code ou en dev Prestashop...

On parle bien de sécurité là. Investir quelques euros dans son gagne pain - donc.

il y a 17 minutes, P i l o u a dit :

C'est un module qui ne sert plus à rien suite à la mise à jour 1.6.1.24

Oui ce serait bien  que quelqu'un fasse un module gratuit pour dépatcher en vue d'appliquer la mise à jour 1.6.1.24

Link to comment
Share on other sites
Mediacom87 Grand Master

Mediacom87

Posted
Posted
Il y a 14 heures, Mehdi Koundi a dit :

Sinon, pour éviter de toucher au code, je vous ai fait un petit module gratuitement ici: https://www.aurone.com/prestashop-comment-bloquer-les-inscriptions-spam compatible Ps 1.5.x a 1.7.x 

Les modules et thèmes de la communauté

Tous les membres de la communauté peuvent partager les modules gratuits ou payants développés par leurs soins.

Tous les modules et thèmes postés dans les sections « Les modules gratuits de la communauté »  et « Les thèmes gratuits de la communauté » doivent être attachés au post au format zip.

Les membres qui souhaitent promouvoir leurs modules et thèmes vendus sur leur propre site web peuvent les poster dans la section « modules et thèmes payants ». Les rubriques concernant les modules et thèmes de la communauté sont disponibles dans la section « General forum » du forum anglais.

 

Vous devez être un membre actif de la communauté du forum et aider d’autres utilisateurs afin de pouvoir répondre à des offres d’emploi ou proposer vos modules/thèmes payants. Ce forum n’est pas une plateforme publicitaire ou promotionnelle.

  • Thanks 1
Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
  • Author
Posted
il y a 15 minutes, okom3pom a dit :

... les problèmes que vos anciens clients vont rencontrer ...

D'ailleurs, toi tu avais beaucoup de . mais sur une autre population, pas constitué que de jeunettes (😍), j'ai des couples reconstitué à foison  (e.g: Bertrand/Madeleine) ...

  • Like 1
Link to comment
Share on other sites
Guest
This topic is now closed to further replies.
 Share
Go to topic listing
×
×
  • Create New...