Jump to content
magicbel

[1.7.x] Nouvelle forme de SPAM dans les clients

Recommended Posts

Salut à tous 😎

Je ne sais pas si je suis le seul actuellement mais apparemment, les petits rigolos du spam client ont modifiés la manière d'emmerder le monde.

Voilà à quoi ça ressemble [Presta 1.7.x] :

jWpNJagNHQ.thumb.png.f8e41ce6acbc4e87b614438deb8924a4.png

Un Recaptcha V3 est pourtant dessus mais semble inutile 🤨 (Pas testé la V2 par contre)

A part mettre un style de question "quel est le président de la France" ou un calcul de math aléatoire comme validation d'enregistrement, je vois pas trop....

Niveau provenance,bah c'est comme d'hab, Asie.

Un avis?

Merci !

 

Share this post


Link to post
Share on other sites

Hello,

C'est quoi le X dans PS 1.7.X ?

Parce que, bon, ça peut quand même faire la différence rapport aux discussions déjà passées sur le forum et des soluces déjà apportées...

Antoine

Share this post


Link to post
Share on other sites

Ca veut dire que toutes les versions sont impactées

Share this post


Link to post
Share on other sites

1.7.6.4 pour être précis. ;)

 

Share this post


Link to post
Share on other sites

Le module de mathématique de Mediacom corrige le problème.

 

Share this post


Link to post
Share on other sites

Salut !

C'est ce que je me disais aussi, je vais voir chez eux du coup. ;)

Share this post


Link to post
Share on other sites

Il a répondu sur Slack va voir

  • Thanks 1

Share this post


Link to post
Share on other sites

Salut,
Bon voici la situation.

La communauté a identifié que seul les version 1.7 de PrestaShop étaient impactées.

Ma première solution javascript ne fut pas concluante, je viens de refaire mon module pour intégrer une autre technique et j'attends de constater les résultats, car même si j'imagine la technique employé seul les tests réels pourront valider le résultat.

Je reviendrais pour rapporter le résultat de ce test.

Share this post


Link to post
Share on other sites

De notre côté nous avons commencé des tests, il semblerait que de nombreux modules de captcha aient mal implémenté la vérification et qu’il est donc possible de la contourner.

Comme indiqué dans l’issue créée par @okom3pom sur GitHub https://github.com/PrestaShop/PrestaShop/issues/19575#issuecomment-638921581

La vérification du captcha devrait être effectué dans le hook actionDispatcher disponible depuis PrestaShop 1.5 pour s’assurer qu’elle soit effectuée avant toute action d’envoi de mail ou de modification de la base de données.

Par ailleurs, nous ne prévoyons pas d’intégrer de captcha natif pour les mêmes raisons évoquées précédemment : nous n’avons pas l’expérience des leaders du marché en la matière donc on ne ferait pas mieux qu’eux ; les solutions du marché demandent une clé API et donc une action du marchant ; potentiel conflit avec notre license de distribution du logiciel open source et dans l’expérience que l’on souhaite offrir.

C’est par exemple pour cela que l’on a retiré Google Maps du Core en 1.7 (la nouvelle page commande dans le BO en 1.7.7 achève le retrait dans le logiciel) et qu’on réfléchit pour la base GeoIp a une solution https://github.com/PrestaShop/PrestaShop/issues/17193

Pour conclure sur les spams et les captcha, il y a aussi suffisamment de solutions gratuites et payantes disponibles pour que l’on se concentre sur d’autres points d’amélioration.

Share this post


Link to post
Share on other sites

Coucou,

Suite à mon développement de cette nuit, il semble que ma nouvelle technique déployé chez mon client sans utilisation de captcha fonctionne car aucune nouvelle inscription frauduleuse ce matin.

Maintenant il faut que je m'occupe de le tester en 1.5 et 1.6 car même si ces versions ne semblent pas touchée, il ne faut pas les négliger car ma solution ne demande aucune configuration du client et n'entrave pas l'inscription en forçant un captcha capricieux externe.

Share this post


Link to post
Share on other sites
il y a 3 minutes, Matt75 a dit :

C’est par exemple pour cela que l’on a retiré Google Maps du Core en 1.7 (la nouvelle page commande dans le BO en 1.7.7 achève le retrait dans le logiciel) et qu’on réfléchit pour la base GeoIp a une solution https://github.com/PrestaShop/PrestaShop/issues/17193

Merci @Matt75 pour cette précision, car les retraits de certaines fonctionnalités entre la 1.6 et 1.7 sont incompréhensibles par la communauté.

Share this post


Link to post
Share on other sites

Concernant Google Maps, on a fait un long travail pour chercher une autre solution : https://github.com/PrestaShop/PrestaShop/issues/10393#issuecomment-625215672

On ne peut pas proposer un outil qui fonctionne dans tous les pays sans clé API et qui soit conforme à notre license de distribution du logiciel open source

Cette fonctionnalité pouvant facilement être ajouté par un module - il y a déjà des solutions gratuites et payantes pour PrestaShop sur le marché - on préfère se concentrer sur d’autres points d’amélioration.

Share this post


Link to post
Share on other sites
il y a 30 minutes, Matt75 a dit :

pour la base GeoIp

Le geoip ne sert absolument à rien dans le cadre de la lutte contre les spams bots. Depuis Mars le volume à augmenté de 400% et les ip coupables sont distribuées sur la planète entière. Les ip françaises sont même la 3eme source la plus importante dans mes logs ces derniers mois.

Share this post


Link to post
Share on other sites
Posted (edited)

Bonjour,

Donc quel solution est suggéré comme Recaptcha fonctionnel ?

Edited by celeg (see edit history)

Share this post


Link to post
Share on other sites

Merci, je vais regarder

Share this post


Link to post
Share on other sites

De mon côté, j'ai utilisé un Captcha V2, ca semble être efficace car depuis 1 semaines le site est tranquille. (le Captcha V3 n'ayant aucun effet :( )

 

pXri0nhClT.png.efb6298050f0b188946eff84279b212b.png

 

 

Share this post


Link to post
Share on other sites

Je comprends le choix permettant de solutionner le souci, mais je trouve qu'il est dommage de mettre en place une solution contraignante pouvant peut être faire perdre des clients et encore pire envoyer encore plus de données à Google sans aucune certitude de l'usage donc un truc en plus à préciser dans le cadre du RGPD car il faudra aussi bloquer ce truc avant que les clients n'accepte.

Share this post


Link to post
Share on other sites
Il y a 2 heures, Mediacom87 a dit :

Je comprends le choix permettant de solutionner le souci, mais je trouve qu'il est dommage de mettre en place une solution contraignante pouvant peut être faire perdre des clients et encore pire envoyer encore plus de données à Google sans aucune certitude de l'usage donc un truc en plus à préciser dans le cadre du RGPD car il faudra aussi bloquer ce truc avant que les clients n'accepte.

Si Presta avait au moins prévu une sécurité à ce niveau (voir sortir une solution) au lieu de laisser tout le monde dans la galère, on en serait pas là aussi....

 

  • Like 1

Share this post


Link to post
Share on other sites
On 6/5/2020 at 10:31 AM, Matt75 said:

Par ailleurs, nous ne prévoyons pas d’intégrer de captcha natif pour les mêmes raisons évoquées précédemment : nous n’avons pas l’expérience des leaders du marché en la matière donc on ne ferait pas mieux qu’eux ; les solutions du marché demandent une clé API et donc une action du marchant ; potentiel conflit avec notre license de distribution du logiciel open source et dans l’expérience que l’on souhaite offrir.

 

3 hours ago, magicbel said:

Si Presta avait au moins prévu une sécurité à ce niveau (voir sortir une solution) au lieu de laisser tout le monde dans la galère, on en serait pas là aussi....

 

Comme je le disais précédemment PrestaShop ne peut pas fournir de solution efficace nativement pour des raisons de license logicielle, il existe néanmoins des modules de captcha efficaces contre cette attaque.

Y compris le captcha invisible Google Recaptcha V3 lorsqu’il est implémenté correctement :

On 6/5/2020 at 10:31 AM, Matt75 said:

La vérification du captcha devrait être effectué dans le hook actionDispatcher disponible depuis PrestaShop 1.5 pour s’assurer qu’elle soit effectuée avant toute action d’envoi de mail ou de modification de la base de données.

Arrêtez de penser que PrestaShop doit tout fournir gratuitement, dans le cas présent nous n’avons pas de meilleure solution technique que les leaders du marché, nous n’avons pas leur expérience dans ce domaine et ne pouvons proposer nativement de solution réellement efficace sur le long terme.

Nous vous invitons donc à passer par un prestataire spécialisé comme Google Recaptcha (Par exemple mais il y en a d’autres) qui se mets à jour régulièrement pour s’adapter aux nouvelles techniques de contournement. C’est un jeu du chat et la souris dans lequel nous ne pouvons pas nous engager.

  • Like 1

Share this post


Link to post
Share on other sites

Bonjour, 

Notre site est également à touché par spam via le formulaire contact alors qu'un reCAPTCHA V2 est en place et fonctionnait très bien.

Sauf, que notre site est en version 1.6.0.14, donc cela semble ne pas qu'impacter les version 1.7.

Share this post


Link to post
Share on other sites

@EnguerranIJ si les spams passent c’est que votre captcha est mal implémenté, contacter le développeur de votre module afin qu’il corrige son implémentation en lui recommandant d’utiliser le hook actionDispatcher disponible depuis PrestaShop 1.5 pour s’assurer que la vérification du captcha soit effectuée avant toute action d’envoi de mail ou de modification de la base de données.

  • Like 2

Share this post


Link to post
Share on other sites
Posted (edited)

Bonjour

mon retour, j'ai créer un petit module avec la version reCaptcha v3 de Google avec les recommandations pour le hook. Depuis 2 jours je n'ai plus de spam de ce type. Potin de merle :D!

Edited by celeg (see edit history)
  • Thanks 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More