[1.7.x] Nouvelle forme de SPAM dans les clients

[magicbel]

Salut à tous 😎

Je ne sais pas si je suis le seul actuellement mais apparemment, les petits rigolos du spam client ont modifiés la manière d'emmerder le monde.

Voilà à quoi ça ressemble [Presta 1.7.x] :

Un Recaptcha V3 est pourtant dessus mais semble inutile 🤨 (Pas testé la V2 par contre)

A part mettre un style de question "quel est le président de la France" ou un calcul de math aléatoire comme validation d'enregistrement, je vois pas trop....

Niveau provenance,bah c'est comme d'hab, Asie.

Un avis?

Merci !

 

[couillaler]

Hello,

C'est quoi le X dans PS 1.7.X ?

Parce que, bon, ça peut quand même faire la différence rapport aux discussions déjà passées sur le forum et des soluces déjà apportées...

Antoine

[magicbel]

1.7.6.4 pour être précis. 

 

[magicbel]

Salut !

C'est ce que je me disais aussi, je vais voir chez eux du coup. 

[Mediacom87]

Salut,
Bon voici la situation.

La communauté a identifié que seul les version 1.7 de PrestaShop étaient impactées.

Ma première solution javascript ne fut pas concluante, je viens de refaire mon module pour intégrer une autre technique et j'attends de constater les résultats, car même si j'imagine la technique employé seul les tests réels pourront valider le résultat.

Je reviendrais pour rapporter le résultat de ce test.

[Matt75]

De notre côté nous avons commencé des tests, il semblerait que de nombreux modules de captcha aient mal implémenté la vérification et qu’il est donc possible de la contourner.

Comme indiqué dans l’issue créée par @okom3pom sur GitHub : https://github.com/PrestaShop/PrestaShop/issues/19575#issuecomment-638921581

La vérification du captcha devrait être effectué dans le hook actionDispatcher disponible depuis PrestaShop 1.5 pour s’assurer qu’elle soit effectuée avant toute action d’envoi de mail ou de modification de la base de données.

Par ailleurs, nous ne prévoyons pas d’intégrer de captcha natif pour les mêmes raisons évoquées précédemment : nous n’avons pas l’expérience des leaders du marché en la matière donc on ne ferait pas mieux qu’eux ; les solutions du marché demandent une clé API et donc une action du marchant ; potentiel conflit avec notre license de distribution du logiciel open source et dans l’expérience que l’on souhaite offrir.

C’est par exemple pour cela que l’on a retiré Google Maps du Core en 1.7 (la nouvelle page commande dans le BO en 1.7.7 achève le retrait dans le logiciel) et qu’on réfléchit pour la base GeoIp a une solution : https://github.com/PrestaShop/PrestaShop/issues/17193

Pour conclure sur les spams et les captcha, il y a aussi suffisamment de solutions gratuites et payantes disponibles pour que l’on se concentre sur d’autres points d’amélioration.

[Mediacom87]

Coucou,

Suite à mon développement de cette nuit, il semble que ma nouvelle technique déployé chez mon client sans utilisation de captcha fonctionne car aucune nouvelle inscription frauduleuse ce matin.

Maintenant il faut que je m'occupe de le tester en 1.5 et 1.6 car même si ces versions ne semblent pas touchée, il ne faut pas les négliger car ma solution ne demande aucune configuration du client et n'entrave pas l'inscription en forçant un captcha capricieux externe.

[Mediacom87]

il y a 3 minutes, Matt75 a dit :

C’est par exemple pour cela que l’on a retiré Google Maps du Core en 1.7 (la nouvelle page commande dans le BO en 1.7.7 achève le retrait dans le logiciel) et qu’on réfléchit pour la base GeoIp a une solution : https://github.com/PrestaShop/PrestaShop/issues/17193

Merci @Matt75 pour cette précision, car les retraits de certaines fonctionnalités entre la 1.6 et 1.7 sont incompréhensibles par la communauté.

[Matt75]

Concernant Google Maps, on a fait un long travail pour chercher une autre solution : https://github.com/PrestaShop/PrestaShop/issues/10393#issuecomment-625215672

On ne peut pas proposer un outil qui fonctionne dans tous les pays sans clé API et qui soit conforme à notre license de distribution du logiciel open source

Cette fonctionnalité pouvant facilement être ajouté par un module - il y a déjà des solutions gratuites et payantes pour PrestaShop sur le marché - on préfère se concentrer sur d’autres points d’amélioration.

[doekia]

il y a 30 minutes, Matt75 a dit :

pour la base GeoIp

Le geoip ne sert absolument à rien dans le cadre de la lutte contre les spams bots. Depuis Mars le volume à augmenté de 400% et les ip coupables sont distribuées sur la planète entière. Les ip françaises sont même la 3eme source la plus importante dans mes logs ces derniers mois.

[celeg]

Bonjour,

Donc quel solution est suggéré comme Recaptcha fonctionnel ?

Edited June 15, 2020 by celeg (see edit history)

[Mediacom87]

J'en parle dans cet article https://www.mediacom87.fr/prestashop-17-nouvelle-attaque-nouvelle-parade/

[celeg]

Merci, je vais regarder

[magicbel]

De mon côté, j'ai utilisé un Captcha V2, ca semble être efficace car depuis 1 semaines le site est tranquille. (le Captcha V3 n'ayant aucun effet  )

 

 

 

[Mediacom87]

Je comprends le choix permettant de solutionner le souci, mais je trouve qu'il est dommage de mettre en place une solution contraignante pouvant peut être faire perdre des clients et encore pire envoyer encore plus de données à Google sans aucune certitude de l'usage donc un truc en plus à préciser dans le cadre du RGPD car il faudra aussi bloquer ce truc avant que les clients n'accepte.

[magicbel]

Il y a 2 heures, Mediacom87 a dit :

Je comprends le choix permettant de solutionner le souci, mais je trouve qu'il est dommage de mettre en place une solution contraignante pouvant peut être faire perdre des clients et encore pire envoyer encore plus de données à Google sans aucune certitude de l'usage donc un truc en plus à préciser dans le cadre du RGPD car il faudra aussi bloquer ce truc avant que les clients n'accepte.

Si Presta avait au moins prévu une sécurité à ce niveau (voir sortir une solution) au lieu de laisser tout le monde dans la galère, on en serait pas là aussi....

 

[Matt75]

On 6/5/2020 at 10:31 AM, Matt75 said:

Par ailleurs, nous ne prévoyons pas d’intégrer de captcha natif pour les mêmes raisons évoquées précédemment : nous n’avons pas l’expérience des leaders du marché en la matière donc on ne ferait pas mieux qu’eux ; les solutions du marché demandent une clé API et donc une action du marchant ; potentiel conflit avec notre license de distribution du logiciel open source et dans l’expérience que l’on souhaite offrir.

 

3 hours ago, magicbel said:

Si Presta avait au moins prévu une sécurité à ce niveau (voir sortir une solution) au lieu de laisser tout le monde dans la galère, on en serait pas là aussi....

 

Comme je le disais précédemment PrestaShop ne peut pas fournir de solution efficace nativement pour des raisons de license logicielle, il existe néanmoins des modules de captcha efficaces contre cette attaque.

Y compris le captcha invisible Google Recaptcha V3 lorsqu’il est implémenté correctement :

On 6/5/2020 at 10:31 AM, Matt75 said:

La vérification du captcha devrait être effectué dans le hook actionDispatcher disponible depuis PrestaShop 1.5 pour s’assurer qu’elle soit effectuée avant toute action d’envoi de mail ou de modification de la base de données.

Arrêtez de penser que PrestaShop doit tout fournir gratuitement, dans le cas présent nous n’avons pas de meilleure solution technique que les leaders du marché, nous n’avons pas leur expérience dans ce domaine et ne pouvons proposer nativement de solution réellement efficace sur le long terme.

Nous vous invitons donc à passer par un prestataire spécialisé comme Google Recaptcha (Par exemple mais il y en a d’autres) qui se mets à jour régulièrement pour s’adapter aux nouvelles techniques de contournement. C’est un jeu du chat et la souris dans lequel nous ne pouvons pas nous engager.

[Ij2021]

Bonjour, 

Notre site est également à touché par spam via le formulaire contact alors qu'un reCAPTCHA V2 est en place et fonctionnait très bien.

Sauf, que notre site est en version 1.6.0.14, donc cela semble ne pas qu'impacter les version 1.7.

[Janett]

@EnguerranIJ si les spams passent c’est que votre captcha est mal implémenté, contacter le développeur de votre module afin qu’il corrige son implémentation en lui recommandant d’utiliser le hook actionDispatcher disponible depuis PrestaShop 1.5 pour s’assurer que la vérification du captcha soit effectuée avant toute action d’envoi de mail ou de modification de la base de données.

[celeg]

Bonjour

mon retour, j'ai créer un petit module avec la version reCaptcha v3 de Google avec les recommandations pour le hook. Depuis 2 jours je n'ai plus de spam de ce type. Potin de merle !

Edited June 19, 2020 by celeg (see edit history)

[Matt75]

Merci pour le retour @celeg 😉