Je ne sait pas s'il s'agit d'une tendance mondiale, mais elle se confirme dans ma boîte au lettre...

Depuis plusieurs jours, je reçois des scams en provenances de sites de news. Comment? Rien de plus simple, le scammer utilise la fonction "Envoyer cette nouvelle à un ami" du site pris en otage pour envoyer son scam.

C'est finement joué parce que:

SPF: Defeated (le mail est toujours envoyé d'où il faut comme il faut ...)
DomainKeys: Defeated (pareil ...)

Bref, ce sont toujours des envois qui "semblent" légitime et qui sont donc encore plus difficile à filtrer.

Il n'y a pas à dire, ces gens ont beaucoup d'imagination

Et ça foncionne aussi sur informaticien.be ...

Alors vite, un capatcha sur l'envoi à un ami, vite!!!!

Bon, comme un petit exemple vaut mieux qu'on long discours, voyons comment exploiter cette faille ...

Prenons un site belge qui permet d'envoyer un article à un ... ami

Regardons ... comment il fait:

Le formulaire:



La fonction javascript STF:

[code]
function STF(oForm)
{
sURL = '' + document.location.href;

if(document.getElementById('ifr_cediti'))
{
if(sURL.indexOf('?') == -1) sURL += '?';
else sURL += '&';
sURL += 'mturl=' + CWS_URLEncode(document.getElementById('ifr_cediti').contentWindow.location);
}

sPostData = 'sURL=' + CWS_URLEncode(sURL);
sPostData += '&sFROM=' + CWS_URLEncode(oForm.sFROM.value);
sPostData += '&sTO=' + CWS_URLEncode(oForm.sTO.value);
sPostData += '&sCOMMENT=' + CWS_URLEncode(oForm.sCOMMENT.value);
sPostData += '&sLASTNAME=' + CWS_URLEncode(oForm.sLASTNAME.value);
sPostData += '&sFIRSTNAME=' + CWS_URLEncode(oForm.sFIRSTNAME.value);

CWS_HidePopup('fo_SendToFriend');

alert(CWS_HttpRequest('/Mediabel/pop_SendToFriend.aspx?LG=1', sPostData ));

return false;
}

[/quote]


Donc pour envoyer un email du site il suffit d'appeler l'URL comme suit:



Et le résultat:



On est pas dans la merdum ...

Négatif, la fonction est réservée aux utilisateurs enregistrés, fonction sur laquelle il existe déjà un captcha.

Faut pas crier au loup comme ça hein

Sinon ça fait un bail que ces fonctions sont utilisées par des scripts, il y a des armées de spambots qui attaquent régulièrement tous les formulaires possibles, ce qui explique le captcha sur le formulaire de contact, le seul accessible sans connexion.

Si je crée un compte et que j'utilise la fonction "Envoyé a un ami" sur une news, il n'y a pas de capatcha

Si on suit ta logique, alors il faut un captcha sur les privés, sur le forum, sur la shoutbox et sur toute interaction. La détection du bot se fait à l'inscription, point. C'est déjà assez pénalisant en terme de perte d'utilisateurs, faut pas non plus comparer cela à des autres pages qui n'ont aucun captcha sur l'emailing ni même d'obligation d'inscription. Et si il y a abus, le mec est banni, stout

De plus, pour en finir pour ma part, cette fonctionnalité n'a jamais été exploitée à mauvais escient, cela ne mérite donc pas les efforts "urgents" que tu cites

Sinon pour le débat de fond, clairement les spambots deviennent chaque jour de plus en plus sophistiqués et après avoir longtemps attaqué les mails (99% des mails sont des spams si je ne m'abuse ), le risque que ces bots ne pourrissent le contenu en ligne augmente de jour en jour

Si on suit ta logique, alors il faut un captcha sur les privés, sur le forum, sur la shoutbox et sur toute interaction. La détection du bot se fait à l'inscription, point. C'est déjà assez pénalisant en terme de perte d'utilisateurs, faut pas non plus comparer cela à des autres pages qui n'ont aucun captcha sur l'emailing ni même d'obligation d'inscription. Et si il y a abus, le mec est banni, stout

10 ans de déterrage

Est-ce le record ?