web-dev-qa-db-fra.com

L'interdiction faite aux agents utilisateurs douteux via .htaccess d'ajouter une couche de protection contre le grattage d'adresses e-mail au-delà du captcha existant?

Je passais en revue les mesures de sécurité/protection des sites Web que je gère (l'un est destiné à une petite société de conseil, l'autre à une association artistique à but non lucratif) et j'ai découvert le sujet de la protection contre les attaques malveillantes ( article ). Je ne dispose pas des ressources nécessaires pour consacrer beaucoup de temps ou d'argent à une solution auto-construite (par exemple, un pot de miel personnalisé), j'ai donc découvert le Apache Ultimate Bad Bot Blocker . Mes questions sont donc de savoir si cela est réellement utile/utile et n’a pas un impact trop important sur les performances (ajout de 8 000 lignes dans le fichier hôte htaccess ou virtuel et de 5 000 lignes dans le fichier robot.txt)?

Mon scepticisme vient à la fois du fait qu’il s’agit bien évidemment d’une information publique. Par conséquent, tout écrivain "mauvais bot" n’aurait bien sûr pas recours aux agents utilisateurs ou aux référents présents dans cette liste? Je ne prétends pas que les informations sont fausses, mais je suppose que ces informations sont collectées ex-post, c.-à-d. Via des pots de miel ou d'autres moyens, mais tout "robot malveillant" utiliserait simplement ces paramètres pendant quelques jours, avant de passer à d'autres paramètres. , qui initialement ne font pas partie de cette liste?

Cette récente (2018) article explique également pourquoi tenter de prévenir les mauvais robots est une perte de temps et de ressources.

Un conseil du monde réel sur quoi faire?

4
Peter K.

Pour répondre à votre question, non, je ne pense pas que l'ajout de nombreuses lignes dans htaccess, etc. soit une bonne solution. Comme vous le supposiez, vous ne bloquez que les robots déjà détectés.

Il est plus efficace d’utiliser une liste comme spamcop https://www.spamcop.net/fom-serve/cache/291.html et Apache Spamassasin https: //spamassassin.Apache.). org / directement au niveau du serveur de messagerie pour vous protéger du spam entrant.

En fin de compte, le cerveau est votre meilleure protection, en combinaison avec les outils disponibles. Malheureusement, vous devez dépenser des ressources pour rester en sécurité à long terme.

1. Limitez le nombre de courriels affichés sur le (s) site (s).

Si possible, passez à un formulaire de soumission dans lequel le visiteur entre son courrier électronique et vous le contactez plutôt que de le montrer en texte clair. Si cela n’est pas possible, assurez-vous de n’avoir qu’un seul courriel sur le site Web, puis surveillez cette boîte de réception comme un vrai webmaster le devrait. Chaque fois que vous recevez du courrier indésirable ou des courriels infectés, veillez à ajouter l'élément unique de ce courrier à un filtre antispam afin que tout courrier électronique futur présentant les mêmes caractéristiques soit complètement ignoré à l'avenir. Cela prend un peu de pratique mais fonctionne très bien. Vous serez étonné de voir à quel point le spam est prévisible. Avec le temps, vous recevez de moins en moins de "mauvais" e-mails. Veillez toutefois à ne pas bloquer les courriels légitimes en créant des filtres trop sensibles.

2. Eduquer les utilisateurs de messagerie.

Vous ne pouvez jamais arrêter complètement les "méchants" robots (ils ne sont pas mauvais du tout, ils sont excellents, mais les personnes qui les utilisent sont mauvais) et vous pouvez dépenser des ressources sans fin pour le faire. Par contre, il est plus facile d’éduquer les utilisateurs des courriels connectés à vos serveurs. Assurez-vous qu'ils comprennent bien qu'ils ne doivent jamais ouvrir une pièce jointe, cliquer sur un fichier ou même en télécharger une, à moins qu'ils n'aient préalablement confirmé connaître l'expéditeur et s'attendre à un tel fichier, et même être suspect. Si un e-mail est inattendu, ne l'ouvrez pas, mais si possible, transmettez-le en tant que webmaster, etc. Il est plus facile d'enseigner aux utilisateurs comment utiliser l'e-mail en toute sécurité, puis d'empêcher les pirates d'envoyer des e-mails infectés.

3. Ne vous inquiétez pas, mais prenez au sérieux la sécurité.

Ne parlez pas paranoïaque en vous inquiétant de mauvais robots. Ce n'est pas grave, sauf si vous avez quelque chose à voler. Si vous avez quelque chose de précieux, apprenez comment le protéger. Faire des sauvegardes. Stockez les sauvegardes sur des serveurs externes dans d'autres centres de données. Prenez au sérieux l'utilisation de la dernière version des scripts et gardez un œil sur les correctifs de sécurité, etc. Restez à jour!

2
Don King