Beveiliging tegen onnodig aanmelden. - Softwareontwikkeling

zaterdag 22 januari 2005 12:05

Acties:

Topicstarter

Hallo allemaal,

Ik zit al een tijdje met een ''probleem'' dat mijn webhoste server niet altijd mailtjes stuurd (bijvoorbeeld bij het sturen van een activatie mail om lid te worden.)

Nu heb ik de laatste tijd op me site erg veel last mensen die zich dus zeg maar aanmelden met rare gebuikersnamen, mailadressen die niet koloppen en dus eigenlijk geen ''waarde'' hebben voor de site. Want het account word aangemaakt en nix mee gedaan en vaak zijn het mensen die het dan nog eens meerdere keren doen waardoor je dus nog meer ''verklote accounts'' krijgt.

Zonet heb ik dan ook weer 15 accounts moeten verwijderen om dat er een grapjas alleen maar accounts had aangemaakt.

Nu aan jullie de vraag wat kan ik doen tegen dit. Op het moment moet je je gegevens invullen en daarna kom je op een pagina waar je op een activatie link moet kliken (deze zou normaal verstuurd moeten worden via een mailtje).

Dus als iemand een ander idee heeft dan een activatie mailtje of een activatie link in de pagina.

het gaat over de site www.casemodders.net

[ Voor 6% gewijzigd door Macsylver op 22-01-2005 12:09 ]

The Centrifuge Camera & Micrograph Stories & Imaginarium of Tears

zaterdag 22 januari 2005 12:09

Acties:

Helmet

Je kan toch een cronjob maken die ene php script runt dat automagisch alle niet geactiveerde accouns ouder dan 7 dagen verwijderd.

Icons are overrated

zaterdag 22 januari 2005 12:21

Acties:

Macsylver

Topicstarter

Helmet schreef op zaterdag 22 januari 2005 @ 12:09:
Je kan toch een cronjob maken die ene php script runt dat automagisch alle niet geactiveerde accouns ouder dan 7 dagen verwijderd.

Die heb ik er zelf ook al ingebouwd voor het geval dat het account niet geactiveerd wordt dat hij na 48 uur word verwijderd.

Maar doordat er nu een activatie link na het aanmelden verschijnd waar je op moet klikken. Dus mensen die het probren te verzieken door alles gewoon maar met onzin in te vullen ( dus gewoon snel een letter combinatie bij elk vakje invullen ook bij het mail aders (moet wel een @ in voor komen.)

Dus misschien is er wel een manier om een controle uit te voeren (iets anders dan een mailtje) waardoor dit soort mensen geen kans meer krijgen

The Centrifuge Camera & Micrograph Stories & Imaginarium of Tears

zaterdag 22 januari 2005 12:28

Acties:

Verwijderd

Zorg dat je 1 account per ip kan aanmaken totdat je op de activatie link hebt geklikt. Daarna kun je er weer 1 aanmaken tot de activatie. Krijg je hoogstens 1 onzin account per ip.

[ Voor 6% gewijzigd door Verwijderd op 22-01-2005 12:29 ]

zaterdag 22 januari 2005 12:29

Acties:

Helmet

En waarom is het versturen van een e-mail geen optie dan?
Je kan natuurlijk ook handmatig de geregistreerde gebruikers toegang geven na controle van de gegevens, maar ja, dat is ook niet echt handig

[ Voor 56% gewijzigd door Helmet op 22-01-2005 12:29 ]

Icons are overrated

zaterdag 22 januari 2005 12:33

Acties:

Macsylver

Topicstarter

Helmet schreef op zaterdag 22 januari 2005 @ 12:29:
En waarom is het versturen van een e-mail geen optie dan?
Je kan natuurlijk ook handmatig de geregistreerde gebruikers toegang geven na controle van de gegevens, maar ja, dat is ook niet echt handig

Ik zit al een tijdje met een ''probleem'' dat mijn webhoste server niet altijd mailtjes stuurd (bijvoorbeeld bij het sturen van een activatie mail om lid te worden.)

Daarom is de optie activatie mailtje sturen geen oplossing omdat ik niet op de mailserver van me hoste kan vertrouwen omdat die bijna nooit aan komen als ik ze van de site verstuur. De ene keer komen ze wel door de andere keer niet (verschilt bij internet provider en verschilt soms ook per dag.

The Centrifuge Camera & Micrograph Stories & Imaginarium of Tears

zaterdag 22 januari 2005 12:35

Acties:

Kuhlie

Edit: kan je niet beter zorgen dat je mail-probleem opgelost wordt? Vraag je host wat er aan de hand is. Controleer of de niet-ontvangende mensen niet toevallig een spamfilter hebben.

Wat is eigenlijk het probleem? Je moet toch gewoon zorgen dat nog-niet-geactiveerde-accounts niet op de site zichtbaar zijn? Die grapjassen koste 48 uur lang een paar rijen in je database, nou en?
* Kuhlie snapt het niet

[ Voor 32% gewijzigd door Kuhlie op 22-01-2005 12:36 ]

zaterdag 22 januari 2005 12:42

Acties:

Macsylver

Topicstarter

Kuhlie schreef op zaterdag 22 januari 2005 @ 12:35:
Edit: kan je niet beter zorgen dat je mail-probleem opgelost wordt? Vraag je host wat er aan de hand is. Controleer of de niet-ontvangende mensen niet toevallig een spamfilter hebben.

Ik heb daar al over met me hoste gesproken maar ze konden het probleem niet achterhalen. Ik krijg bijvoorbeeld wel altijd alle mailtjes binnen op me info@casemodders.net maar dus vaak niet op me msn adres of op me gmail (test accoutnts zijn daar mee aangemeld) Net als xs4all en op hccnet en nog een paar providers komt hij of niet of zelfden (en soms 5 6 dagen later pas aan)

Wat is eigenlijk het probleem? Je moet toch gewoon zorgen dat nog-niet-geactiveerde-accounts niet op de site zichtbaar zijn? Die grapjassen koste 48 uur lang een paar rijen in je database, nou en?
* Kuhlie snapt het niet

Ik zou het ff proberen beter uit te leggen. Je kunt je op dit moment gewoon aan melden en in plaats van dat je een mailtje krijgt kom je op een pagina waar de activatie link op staat. Daardoor kun je dus eigenlijk doen wat je wilt het accout is geactiveerd en zou dus ook niet naar 48 uur verwijderd worden. maar pas na 3 maanden als er dan nog steeds niet is ingelogt

The Centrifuge Camera & Micrograph Stories & Imaginarium of Tears

zaterdag 22 januari 2005 12:56

Acties:

Verwijderd

Misschien kan je naar de sendmail config kijken (sendmail.cf of sendmail.mc)
Daar kan je aangeven, waneer een mailtje expires, en hoevaak die het moet proberen (meer kans dat het aankomt, als ie het vaker probeert). Kijk hoe die deamon is opgestart q30 minuten betekent om de 30 minuten de queue checken (dus opnieuw proberen te versturen).
Je kan in die sendmail ook eerst een name-resolutie uitvoeren. Dus alles achter de @ teken probeert deze te dns-resolven. Bestaat deze niet, dan wordt het niet verstuurd.

zaterdag 22 januari 2005 13:03

Acties:

Verwijderd

Macsylver schreef op zaterdag 22 januari 2005 @ 12:33:
Daarom is de optie activatie mailtje sturen geen oplossing omdat ik niet op de mailserver van me hoste kan vertrouwen omdat die bijna nooit aan komen als ik ze van de site verstuur. De ene keer komen ze wel door de andere keer niet (verschilt bij internet provider en verschilt soms ook per dag.

Me hoste? Wat is in vredesnaam een hoste????

zaterdag 22 januari 2005 13:09

Acties:

Macsylver

Topicstarter

Verwijderd schreef op zaterdag 22 januari 2005 @ 13:03:
[...]

Me hoste? Wat is in vredesnaam een hoste????

sorry misschien wat onduidelijk maar ik bedoel er mee:
Mijn webhoste waar ik bij zit aangesloten.

[ Voor 5% gewijzigd door Macsylver op 22-01-2005 13:10 ]

The Centrifuge Camera & Micrograph Stories & Imaginarium of Tears

zaterdag 22 januari 2005 13:26

Acties:

NMe

Quia Ego Sic Dico.

Macsylver schreef op zaterdag 22 januari 2005 @ 13:09:
sorry misschien wat onduidelijk maar ik bedoel er mee:
Mijn webhoste waar ik bij zit aangesloten.

Host schrijf je zonder 'e' aan het eind, daar doelt Xenna op.

On-topic: je zou een captcha (plaatje met tekst die de gebruiker moet overtikken) op kunnen nemen. Dat zorgt er al voor dat er geen scripts zich kunnen registreren. Verder is het natuurlijk veel irritanter voor het soort types dat, zoals je zelf zegt, 15 accounts maakt om jou te dissen. Een tweede beveiliging is in dit topic al voorbij gekomen: check op IP-adres, en sta niet toe dat iemand op hetzelfde IP-adres meerdere accounts kan maken. Of, als je dat liever niet wil in verband met meerdere mensen die dezelfde pc gebruiken: zorg dat je met hetzelfde IP-adres in één dag tijd niet meer dan één account kan maken.

Verder zou ik een andere host zoeken als ze niet eens iets simpels als een mail versturen goed kunnen afhandelen. Al heb ik eerlijk gezegd het vermoeden dat het eerder aan je script ligt dan aan je host.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zaterdag 22 januari 2005 13:33

Acties:

LinuX-TUX

Eigenlijk moet je gelijk achter dat mail probleem aangaan, toch wel absurt dat die host dat niet even voor je naloopt. Komt het niet toevallig in je junk folder aan bij je hotmail account? Dan staat er wat verkeerd ingesteld bij de provider, waardoor het bij hotmail afgeschreven word als potentiele spam. (of je beveiliging staat zo hoog ingesteld, dat je alleen maar mail wilt ontvangen van erkende adressen van jouw profiel)

Dit in combinatie met een expire tijd middels cron is de absolute automatische schoonmaakster die je kan bedenken

Zou hem wel op 3 weken zetten oid, is niet leuk als je na elke vakantie jezelf weer opnieuw aan moet maken. Of je maakt er een soort inactive account van, net zoals hotmail dat doet met leden

edit:

Kleine aanvulling, even opgezocht op php.net

tbellefy <scramble> com
13-Oct-2004 04:18

Hello all,

I have a simple solution to some of the larger email companies(Y!, Hotmail etc..) rejecting your emails sent from a php script:

First thing I did was identify the default "Return-Path:" header which in my case was www@mydomain.com. This is obviusly set by my hosting company and I had no control over it. Every email I sent from this address was being automatically added to the bulk folder.

I tried using the -f switch but still ended up in the bulk folder because it would generate a X-Authentication-Warning header.

I had to edit /etc/mail/submit.cf on my server and add www as a trusted user.

Here are the lines to look for in your submit.cf file:
#####################
# Trusted users #
#####################

# this is equivalent to setting class "t"
#Ft/etc/mail/trusted-users
Troot
Tdaemon
Tuucp
Tmailnull
Twww <-- notice the addition of the www user.

Now I can use the -f switch freely and all emails are getting accepted in the inbox!

Snippet:
PHP:
1
2
3
<?php
mail($to, $subject, $message, $headers, "-f".$return_path."");
?>
Good Luck!

Misschien even de moeite waard om na te lopen. Doet hij het nog steeds niet, dan moet je het mail commando eens tussen if statements zetten om te kijken of de deamon wel accepteerd/reageerd/aanwezig is. ( if(mail('','','') { } else { print("gaat wat fout"); )

[ Voor 50% gewijzigd door LinuX-TUX op 22-01-2005 13:42 ]

zaterdag 22 januari 2005 13:46

Acties:

Macsylver

Topicstarter

-NMe- schreef op zaterdag 22 januari 2005 @ 13:26:
[...]

Host schrijf je zonder 'e' aan het eind, daar doelt Xenna op.

On-topic: je zou een captcha (plaatje met tekst die de gebruiker moet overtikken) op kunnen nemen. Dat zorgt er al voor dat er geen scripts zich kunnen registreren. Verder is het natuurlijk veel irritanter voor het soort types dat, zoals je zelf zegt, 15 accounts maakt om jou te dissen. Een tweede beveiliging is in dit topic al voorbij gekomen: check op IP-adres, en sta niet toe dat iemand op hetzelfde IP-adres meerdere accounts kan maken. Of, als je dat liever niet wil in verband met meerdere mensen die dezelfde pc gebruiken: zorg dat je met hetzelfde IP-adres in één dag tijd niet meer dan één account kan maken.

ik denk dat ik dit er in ga bouwen want 1 ip na aanmelding ''blokeren'' kan niet want er zijn mensen met een variabel ip adres.

Verder zou ik een andere host zoeken als ze niet eens iets simpels als een mail versturen goed kunnen afhandelen. Al heb ik eerlijk gezegd het vermoeden dat het eerder aan je script ligt dan aan je host.

en het mail script is gewoon een standaard mail script want er zijn ook mensen die het wel ontvangen.

@ LinuX-TUX : dat van jou gaat ik zo eens ff proberen toe te passen.

[ Voor 7% gewijzigd door Macsylver op 22-01-2005 13:47 ]

The Centrifuge Camera & Micrograph Stories & Imaginarium of Tears

zaterdag 22 januari 2005 13:55

Acties:

Verwijderd

Macsylver schreef op zaterdag 22 januari 2005 @ 13:09:
sorry misschien wat onduidelijk maar ik bedoel er mee:
Mijn webhoste waar ik bij zit aangesloten.

O, webhoster? Het bedrijf dat je websites host. Dan snap ik het.

zaterdag 22 januari 2005 14:07

Acties:

NomoDigger

Macsylver schreef op zaterdag 22 januari 2005 @ 13:46:
[...]

ik denk dat ik dit er in ga bouwen want 1 ip na aanmelding ''blokeren'' kan niet want er zijn mensen met een variabel ip adres.

Maar dan kunnen mensen iig niet in 1 "internetsessie" meerdere accounts aanmaken.

[ Voor 7% gewijzigd door NomoDigger op 22-01-2005 14:08 . Reden: typo ]

zaterdag 22 januari 2005 14:20

Acties:

Verwijderd

Je kunt eventueel een dns lookup van het opgegeven maildomein doen, maar echt afdoende is dat ook niet. Mailen is echt het beste systeem.

Andere hoster zoeken? Dit lijkt mij vrij onacceptabel.

zaterdag 22 januari 2005 14:27

Acties:

Macsylver

Topicstarter

ik ben nu bezig om bij het registratie script het volgende toe te voegen.

Controleren of het ip al voor komt in de DB bij een eerdere aamelding bij de site.

* Zo JA -> je kunt pas weer naar 24 uur een nieuw accout aanmaken (dit is natuurlijk niet de bedoeling maar houdt een hoop ''troep'' buiten de deur)

* Nee, komt het IP adres nog niet voor in de data DB dan kan de gebruiker zich gewoon aanmelden op casemodders.net

// nu ben ik nog verder op zoek naar meerdere opties.

ik heb dit gedaan omdat het nog wel een tijdje kan duren (en altijd handig is als extra beveiliging) voordat me hosting provider dit probleem heeft opgelost.Ookal geven ze ter kennen dat ze het niet kunnen vinden.

[ Voor 7% gewijzigd door Macsylver op 22-01-2005 14:29 ]

The Centrifuge Camera & Micrograph Stories & Imaginarium of Tears

zaterdag 22 januari 2005 14:38

Acties:

pierre-oord

zoek eens op phpmailer op sourceforge. Een programma wat via SMTP of sendmail kan verzenden (of beter: een php script). Even includen, en je kunt zeer geavanceerde berichten versturen.

Als je de SMTP versie gebruikt krijg je zelfs vaak meteen een melding als de remote server er niets mee kan, alleen duurt het submitten van een pagina dan wat langer. Ik gebruik het met de sendmail instelling, en volgens mij krijgt iedereen hetin het juiste vakje, al heb ik geen hotmail account getest.

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

zaterdag 22 januari 2005 20:42

Acties:

Macsylver

Topicstarter

pierre-oord schreef op zaterdag 22 januari 2005 @ 14:38:
zoek eens op phpmailer op sourceforge. Een programma wat via SMTP of sendmail kan verzenden (of beter: een php script). Even includen, en je kunt zeer geavanceerde berichten versturen.

Als je de SMTP versie gebruikt krijg je zelfs vaak meteen een melding als de remote server er niets mee kan, alleen duurt het submitten van een pagina dan wat langer. Ik gebruik het met de sendmail instelling, en volgens mij krijgt iedereen hetin het juiste vakje, al heb ik geen hotmail account getest.

bedankt voor deze goede tip deze mail service werkt namelijk wel.

ff snel getest op:
- Gmail
- casemodders.net
- hccnet
- Msn / hotmail (komt niet in de map ongewenste post bij mij)
- myrealbox
- xs4all
alles nu dus

[ Voor 8% gewijzigd door Macsylver op 22-01-2005 21:05 ]

The Centrifuge Camera & Micrograph Stories & Imaginarium of Tears

zaterdag 22 januari 2005 20:53

Acties:

pistole

Frutter

offtopic:
volgens mij draai je je site bij trueserver (die servers staan letterlijk naast mijn kantoor

). Ik kan me niet voorstellen dat het probleem bij hun ligt

Ik frut, dus ik epibreer

zaterdag 22 januari 2005 21:06

Acties:

Macsylver

Topicstarter

pistole schreef op zaterdag 22 januari 2005 @ 20:53:

offtopic:
volgens mij draai je je site bij trueserver (die servers staan letterlijk naast mijn kantoor ). Ik kan me niet voorstellen dat het probleem bij hun ligt

flexishosting is mijn webhoste.

[ Voor 7% gewijzigd door Macsylver op 22-01-2005 21:06 ]

The Centrifuge Camera & Micrograph Stories & Imaginarium of Tears

zaterdag 22 januari 2005 21:22

Acties:

pistole

Frutter

ow okee, dom van mij - niet ver genoeg gekeken.
(flexishosting huurt bandbreedte/ruimte/ip-adressen inderdaad bij trueserver, maar dat terzijde)

Ik frut, dus ik epibreer

zaterdag 22 januari 2005 21:24

Acties:

NMe

Quia Ego Sic Dico.

Macsylver schreef op zaterdag 22 januari 2005 @ 20:42:
bedankt voor deze goede tip deze mail service werkt namelijk wel.

ff snel getest op:
- Gmail
- casemodders.net
- hccnet
- Msn / hotmail (komt niet in de map ongewenste post bij mij)
- myrealbox
- xs4all
alles nu dus

Dan lag het dus, uiteindelijk, wel aan je mailscript?

En je schrijft webhost nog altijd zonder 'e', of webhoster met een 'r' aan het eind.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zaterdag 22 januari 2005 21:50

Acties:

Macsylver

Topicstarter

-NMe- schreef op zaterdag 22 januari 2005 @ 21:24:
[...]

Dan lag het dus, uiteindelijk, wel aan je mailscript?

En je schrijft webhost nog altijd zonder 'e', of webhoster met een 'r' aan het eind.

ja/nee

ja, scripte werkte niet samen met de server want de mailtejs kwam en niet of noulijks aan bij de mensen.

Nee, het script werkt normaal wel watn het was een standaard php mail forumulier die wel op andere sites werkte.

The Centrifuge Camera & Micrograph Stories & Imaginarium of Tears

zaterdag 22 januari 2005 21:54

Acties:

LinuX-TUX

Macsylver schreef op zaterdag 22 januari 2005 @ 21:50:
[...]

ja/nee

ja, scripte werkte niet samen met de server want de mailtejs kwam en niet of noulijks aan bij de mensen.

Nee, het script werkt normaal wel watn het was een standaard php mail forumulier die wel op andere sites werkte.

Dus de oorzaak ligt nog steeds bij het script. Of het nou is wegens foute losse slordige code of een typo in een variabele. Wat ik me heel goed kan voorstellen

Anyway, zelf zou ik nog even doorbuffelen om de fout te achterhalen. Leren kan echt geen kwaad en eens zal je toch zelf moeten kunnen PHP'en

Succes en veel PHPlezier

[ Voor 6% gewijzigd door LinuX-TUX op 22-01-2005 22:05 ]

zondag 23 januari 2005 00:02

Acties:

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

Macsylver schreef op zaterdag 22 januari 2005 @ 14:27:
* Zo JA -> je kunt pas weer naar 24 uur een nieuw accout aanmaken (dit is natuurlijk niet de bedoeling maar houdt een hoop ''troep'' buiten de deur)

* Nee, komt het IP adres nog niet voor in de data DB dan kan de gebruiker zich gewoon aanmelden op casemodders.net

Nu de activatie in de mail stoppen (aangezien de mails nu wel aankomen), want zo heeft de gebruiker een geldig e-mail adres nodig. Dan nog een check toevoegen dat er maar 1 registratie per e-mail adres mag voorkomen (en voor de gevallen dat iemand toch meerdere accounts op 1 mail adres wil hebben, kunnen ze jou mailen

) en dan is dat weer een extra stapje. Dan nog IP check bij registratie waar je een lijstje IP's bijhoudt van de echte volhouders die blijven rotsooien. IP in block list

zondag 23 januari 2005 10:31

Acties:

Verwijderd

We Are Borg schreef op zondag 23 januari 2005 @ 00:02:
[...]

Nu de activatie in de mail stoppen (aangezien de mails nu wel aankomen), want zo heeft de gebruiker een geldig e-mail adres nodig. Dan nog een check toevoegen dat er maar 1 registratie per e-mail adres mag voorkomen (en voor de gevallen dat iemand toch meerdere accounts op 1 mail adres wil hebben, kunnen ze jou mailen ) en dan is dat weer een extra stapje. Dan nog IP check bij registratie waar je een lijstje IP's bijhoudt van de echte volhouders die blijven rotsooien. IP in block list

Vergeet dan niet ook continu een lijst van alle anonymous proxy's van het net te halen en die ook te blocken anders laat je weer zo'n groot gat open. Een vriendje van mij had een bot-script gemaakt voor een online game die steeds van verschillende anon proxies gebruik maakte.

Misschien zou je alle connecting IP's even moeten proben om te zien of ze een proxy hebben draaien...

En sommige mensen hebben oneindig veel e-mail adressen tot hun beschikking. Ik heb bijv. user@domein.nl, maar alle mail aan user-sub@domein.nl en user-sub2@domein.nl komt ook gewoon in mijn mailbox...

Moraal van dit verhaal: Helemaal veilig krijg je het nooit, maar een e-mail check is meestal wel voldoende...

zondag 23 januari 2005 22:52

Acties:

Tomatoman

Fulltime prutser

Macsylver schreef op zaterdag 22 januari 2005 @ 12:21:
[...]
Maar doordat er nu een activatie link na het aanmelden verschijnd waar je op moet klikken. Dus mensen die het probren te verzieken door alles gewoon maar met onzin in te vullen ( dus gewoon snel een letter combinatie bij elk vakje invullen ook bij het mail aders (moet wel een @ in voor komen.)

Je moet je afvragen waarom mensen onzingegevens invullen. Misschien willen ze niet dat jij hun naam, e-mailadres, geboortedatum en sofinummer weet. Je moet je realiseren dat het nogal gevoelig ligt irrelevante gegevens verplicht te laten invullen. Moet iemand bijvoorbeeld bij de registratie verplicht zijn adres invullen (terwijl dat voor een webdienst helemaal niet nodig is), dan is het heel begrijpelijk dat hij daar zomaar wat onzin invult. Bij wie ligt dan de schuld? Bij de gebruiker, omdat hij zomaar wat invult, of bij degene die eist dat hij iets invult?

Dat neemt niet weg dat het natuurlijk onzin is dat iemand zomaar 15 accounts tegelijk aanmaakt.

Een goede grap mag vrienden kosten.