Aprés plusieurs années de modération de forum pour divers projets, on se retrouve généralement avec le même problème: le SPAM…
Je pense que ça serra toujours une bataille éternelle mais sur un forum le spam c’est pas vraiment esthétique donc on se doit de le combattre.

Il existe selon le forum que vous utilisez plusieurs plugins antispam…
Mais lequels choisir ?

Le captcha

Tout le monde le connais, assez fastidieux et énervant, c’est la première protection à laquelle on pense…
Il faut savoir que ce système tombe assez vite avec un OCR ou autre.
C’est donc a bannir ?
Je pense que si vous voulez vraiment mettre un captcha, il faut se diriger vers reCaptcha. http://www.google.com/recaptcha
C’est développé par Google, il a le meilleur taux de réussite aux tests durant les conférences de blackhat etc…
Maintenant si une personne veux vraiment spammer votre forum protégé par reCaptcha, il va pouvoir le faire avec des solutions payantes.
Ca consiste à payer des polonnais ou des chinnois pour qu’ils décryptent le captcha.

La liste de questions

Cela consiste à faire répondre l’humain ou le bot à une questions aléatoire.
Plutot efficace quand les réponses sont difficiles (non-brutforcables)

Les Honeypots

Les pots de miels sont des petits tricks techniques pour piéger les bot qui ne savent pas interepreter le css ou le javascript.
Par exemple mettre en javascript une case a cocher ou un champ a remplir en css.
C’est une solution confortable pour l’humain, car il n’a rien à faire. Mais ce n’est pas efficace a 100% car les bots arrivent a trouver des solutions pour gérer le css et js (phantom.js etc)

Les blacklists

Les blacklists sont des listes noires (RBL) qui contiennent les IP et mails de spam connus.
C’est pour moi la meilleure solution. Dés qu’un spam se fait choper son ip, toute la communauté la bloque.
J’utilise personnellement http://www.stopforumspam.com/

Timezone -12

Bannir les utilisateurs qui ont un timezone de -12

Concrètement, je met quel plugin ?

Etant donné que j’utilise principalement punbb, je ne me suis pas encore penchés sur les plugins d’autres forums.
En tout cas pour punbb je recommande ce merveilleux plugin: http://punbb.informer.com/forums/post/144686/#p144686
Et éventuellement en parallèle l’utilisation d’un plugin recaptcha

Et pour mes projets dev. perso ? (hors forum)

Les techniques sont les même.
Vous avez quand même quelques petites techniques pour cacher vos adresses mails http://blog.sakaroz.com/web/eviter-le-spam-et-cacher-son-e-mail-avec-un-peu-de-css/
Ou pour faire chier les spammers spampoison http://spampoison.com/ ou à la main http://wp-mix.com/infinite-loop-trap-spammers/

Quelques petites astuces pour avoir un mot de passe bien sécurisé.

Mot de passe unique

Quand vous vous inscrivez sur un site web quelconque, il vous faut généralement un mot de passe. La plupart du temps, c’est le même mot de passe.

C’est la qu’est l’erreur. Il suffit qu’un webmaster mal intentionné ou un hacker récupère le mot de passe dans la base de données d’un des sites web, décrypte éventuellement le mot de passe. Étant donné que le mot de passe (et éventuellement le login) est identique sur chaque site web, il a ensuite le mot de passe (et login) pour tous vos sites web.

C’est pour cela que je vous recommande d’avoir un pseudo ou au moins un mot de passe unique pour chaque site web.

Choisir le mot de passe

Tout le monde vous le dira, pour avoir un bon mot de passe, il faut qu’il comporte un minimum de caractères et de chiffres, mais ce n’est pas tout.

Pour un bon mot de passe il faut:

  • Au moins 8 caractères (je recommande 12)
  • Des chiffres
  • Des lettres minuscules et MAJUSCULES
  • Des caractères spéciaux (ex: é-*/+)
  • Les lettres ne doivent pas constituer un mot (ex: AcDfsEX)

Un bon mot de passe est par exemple : vX*kOgEFlA1Z

Comment le retenir ?

C’est bien joli, mais comment le retenir ? Le noter ?

Je ne pense pas que cela soit une bonne idée, car si quelqu’un s’introduit dans votre bureau ou dans votre ordinateur, il a sur un seul fichier tout vos mots de passe. À moins de crypter ce fichier (avec truecrypt par exemple).

Une alternative est de former une phrase avec le mot de passe, trouver une signification à partir d’un mot de passe aléatoire.
Par exemple le mot de passe: Vt6gTqmT
Vous trouver une signification : Veux tu 6 grosses truites que ma tante

Des outils pour m’aider ?

J’ai développé un petit outil web qui permet de générer aléatoirement des mots de passe:

http://sandbox.matt.niloo.fr/pw/

Le site web est composé de deux parties.
Celle du dessus permet de générer un mot de passe en fonction du site web sur lequel vous êtes.
Comme ça même pas besoin de retenir chaque mot de passe. L’outil calcul tout seul le mot de passe.

La partie du dessous génère tout simplement un mot de passe aléatoire.

Attention aux navigateurs

Faites attention aux navigateurs, lorsque votre navigateur vous propose de retenir le mot de passe lorsque vous vous loguez sur une page, il le stock en clair sur votre système. Il est facile pour une personne mal intentionnée de récupérer ce fichier sensible. Pensez à désactiver l’option ou toujours cliquer sur « Ne pas retenir le mot de passe ».

En temps que Webmaster

Si vous êtes webmaster, pensez bien à faire les mises à jour régulièrement de votre CMS ou forum, etc….

Si vous développez vous même votre application, pensez à utiliser un système de cryptage de mot de passe pour toujours avoir un hash stocké dans la base de données.
Attention, si vous utiliser du MD5 pour crypter, c’est très facilement cassable… Pensez à hacher les mots de passe en SHA-1/2/3 avec un salt.

Pour faire une seedbox, il faut tout d’abord:

  • Un serveur (qu’il soit un dédié ou un vieu pc transformé en serveur pour la cause)
  • Une connaissance minimale en linux (prennez la distribution que vous souhaitez, ici je prend debian)

Quoi qu’il en soit, voici les instructions:

Installation:

apt-get install transmission-daemon

Configuration:

Important: la configuration du fichier se fait service éteint !

service transmission-daemon stop
nano /etc/transmission-daemon/settings.json

Maintenant nous pouvons configurer les options 😉

« download-dir »: « /home//Downloads », // le répertoire qui contiendra les fichiers téléchargés
« ratio-limit »: 2, //Stopper le torrent quand il a atteint un certain ratio (>1, sinon aucune utilité de la seedbox)
« ratio-limit-enabled »: false, //Activer le ratio
« rpc-authentication-required »: true, //laisser à true
« rpc-enabled »: true,
« rpc-password »: « Azerty123 », //votre mot de passe, il serra chiffré lors du démarrage du service
« rpc-port »: 9091, //Vous pouvez modifier le port si vous voulez
« rpc-username »: « transmission », //Vous pouvez modifier l’utilisateur pour vous connecter au webui
« rpc-whitelist-enabled »: false, //Mettre sur false pour autoriser toutes les ips a se connecter au webui

Je pense avoir fait le tour de toutes les options interessantes pour une seedbox

Il ne vous reste plus qu’a démarrer le service et à vous connecter au webui

service transmission-daemon start

Aller sur http://votreip:9091 authentifiez vous avec l’utilisateur et le mot de passe que vous avez configuré plus haut.

transmission-web-interface

Et vous etes prêts à télecharger des torrents sur votre seedbox.