Discussion :

[keokaz]

Bonsoir,

j'aimerais savoir si utiliser angular5 peut freiner les robots spam ?
j'ai par exemple fait un wget:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
wget localhost:4200
--2017-12-12 18:18:16--  http://localhost:4200/
Résolution de localhost (localhost)… ::1, 127.0.0.1
Connexion à localhost (localhost)|::1|:4200… échec*: Connexion refusée.
Connexion à localhost (localhost)|127.0.0.1|:4200… connecté.
requête HTTP transmise, en attente de la réponse… 200 OK
Taille*: 608 [text/html]
Sauvegarde en*: «*index.html.1*»
 
index.html.1        100%[===================>]     608  --.-KB/s    in 0s      
 
2017-12-12 18:18:16 (99,1 MB/s) — «*index.html.1*» sauvegardé [608/608]

si on fait un cat on seulement ceci

Code HTML :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<!doctype html>
<html lang="en">
<head>
  <meta charset="utf-8">
  <title>Form5</title>
  <base href="/">
 
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="icon" type="image/x-icon" href="favicon.ico">
</head>
<body>
  <app-root></app-root>
<script type="text/javascript" src="inline.bundle.js"></script><script type="text/javascript" src="polyfills.bundle.js"></script><script type="text/javascript" src="styles.bundle.js"></script><script type="text/javascript" src="vendor.bundle.js"></script><script type="text/javascript" src="main.bundle.js"></script></body>
</html>

comme c'est du onepage, il y a t'il des crawler qui peut remplir un formulaire automatiquement ? ou que cela devient plus difficile avec du javascript ?

je pose la question pour savoir s'il faut mettre un captcha par exemple

merci de votre réponse.

[Spartacusply]

Oui bien vu, tout l'exécution du code se faisant côté client il devient également (légèrement) plus compliqué pour les spammers et hackers de jouer avec ton code car un wget ne suffit plus, il faut également un interpréteur javascript côté serveur (= Node.JS) pour exécuter ton code. Malheureusement, le hacker sait s'adapter et ça ne devrait pas être très compliqué pour lui de créer du code node pour aspirer ton site tout pareil.

De toutes façons la faille comblée par le captcha n'est pas là, car la requête qui part vers ton site est une requête ajax et plus une requête post direct, mais au final ça revient au même donc OUI il te faut toujours un captcha afin de vérifier que c'est bien un humain qui exécute l'action.

A noter que Javascript complique la tâche des "méchants" robots mais aussi des "bons", les robots d'indexation par exemple, c'est à prendre en considération également.

[keokaz]

Merci de ta réponse Spartacusply,

c'est ce que je pense , que ça devrais déjà freiner les hackers débutant, qui'il devient plus compliqué et rapide à remplir les formulaires automatiquement (sauf s'il trouve des outils tout prêt ....) mais un formulaire créer par une personne est toujours différent d'un autre (sauf si l'on fait un copier coller), pour que le hacker puisse facilement spammer 100 sites il lui faudrait qu'il ouvre de lui même les 100 formulaires pour qu'il notes les champs des inputs?.

Et que penses tu que le jwt suffit pour éviter les captachas?
lorsqu'on génère un formulaire, on demande un jeton au serveur qui lui va générer un jeton avec une date limite.
si on met un jeton qui indique plusieurs info

-ip du client (même s'il est falsifiable).
-une clés hashé du client (même si le hacker peut générer cette cléf).
- une date limite
- autre chose qui peu donner l'information que c'est bien le client ?(je ne sais pas si c'est faisable de récupérer l'adresse mac de la machine).
- En ajoutant le header CORS côté backend (s'il y a qu'un seul serveur front)

Pour les bon robots, c'est sur que le référencement est plus difficile pour google.

Pour ma par je préfère un site moins référencer et plus sécurisé, mais cela dépend si c'est un site vitrine ou une site de gestion d'entreprise.
Ou encore que de se faire cloner le site entier, protéger son design.
A ce niveau, vu que l'indexation est difficile, il pourrai peut être déjà dire que niveau sécurité il a gagné 1 point ?

[Spartacusply]

lorsqu'on génère un formulaire, on demande un jeton au serveur qui lui va générer un jeton avec une date limite.

Tu n'est pas le premier à avoir cette idée qui permet de se protéger des failles de type CSRF. C'est en effet une protection supplémentaire qui complique encore davantage la tâche du robot. Mais cela ne l'empêche toujours pas lui de te demander un jeton valide puis de jouer le formulaire comme s'il était un humain.

Activer le CORS côté back-end est aussi une très bonne pratique.

Mais tout cela ne remplace pas un Captcha ! (et pas n'importe lequel, un bon captcha en plus).

Ce sont des couches de sécurité indépendantes qui se rajoutent les unes aux autres que tu peux activer, désactiver en fonction du niveau de sécurité requis et du niveau de facilité de maintenance que tu souhaites obtenir, mais n'oublie jamais que rien n'est jamais infaillible niveau sécurité

[keokaz]

Oui c'est sur qu'aucun système est à 100% faible, il y aura toujours des personnes qui vont arriver à ses fins,
par contre il faut essayer de s'en approcher, quel capta peux t'on utiliser avec angular5 ? une libraire js pure?
Ou il y a déjà un module captcha angular2 qui à été éprouvé.

Un spam est t'il par exemple capable de trouver,calculer la position d'un élément à cliquer(si par exemple le captcha est de cliquer sur une zone définit), il y a tellement de résolution différente
et d'appareil que cela me semble difficile .