Informatique

Bonjour,

Comment se protéger contre les spam par formulaire de contact ?

Hello,
Google recaptcha.

Recaptcha V2

Je ne te conseille pas d'utiliser les outils google sauf si tu t'en fous de tes données. C'est très facile de faire un petit script fait maison.

Le 24 mai 2023 à 12:38:38 :
Bonjour,

Comment se protéger contre les spam par formulaire de contact ?

Tu peux utiliser un captcha ou équivalent, issue de google ou non, mais tu pourrais toujours bypass le captcha en tapant directement vers l'endpoint qui traite les données du formulaire, du coup tu peux mettre un rate limit via ton webserver (NGinx ou Apache ou autre)

Tu peux aussi récupérer l'adresse IP, momentanément et en précisant pourquoi tu récupères l'IP dans le privacy, et en le supprimant plus tard (ou en la rendant anonyme), pour empêcher un utilisateur (une IP) d'envoyer trop de message dans un laps de temps donné.

Dans l'absolu, les deux options à la fois.

Le 05 juillet 2023 à 16:36:22 :
Tu peux utiliser un captcha ou équivalent, issue de google ou non, mais tu pourrais toujours bypass le captcha en tapant directement vers l'endpoint qui traite les données du formulaire

Mdr, n'importe quoi, ton captcha est validé sur le backend hein...

Le 07 juillet 2023 à 14:23:54 :

Le 05 juillet 2023 à 16:36:22 :
Tu peux utiliser un captcha ou équivalent, issue de google ou non, mais tu pourrais toujours bypass le captcha en tapant directement vers l'endpoint qui traite les données du formulaire

Mdr, n'importe quoi, ton captcha est validé sur le backend hein...

Ceux de google & co te permettent de faire des appels vers chez eux pour check dans le server ?? Si tu le fais sur ton propre server je dis pas, tu généres quelque chose et si la clé n'est pas le body tu rejetes, mais dans ce cas tu peux juste mettre des nonces pour être sur que ce qui tape dans l'endpoint à bien été d'abord générer dans une page.

J'ai un ami qui avait bypass un captcha google d'un jeu pour empêcher de flood account creation, juste en tapant directement dans l'endpoint

Le 09 juillet 2023 à 23:55:31 :

Le 07 juillet 2023 à 14:23:54 :

Le 05 juillet 2023 à 16:36:22 :
Tu peux utiliser un captcha ou équivalent, issue de google ou non, mais tu pourrais toujours bypass le captcha en tapant directement vers l'endpoint qui traite les données du formulaire

Mdr, n'importe quoi, ton captcha est validé sur le backend hein...

Ceux de google & co te permettent de faire des appels vers chez eux pour check dans le server ?? Si tu le fais sur ton propre server je dis pas, tu généres quelque chose et si la clé n'est pas le body tu rejetes, mais dans ce cas tu peux juste mettre des nonces pour être sur que ce qui tape dans l'endpoint à bien été d'abord générer dans une page.

J'ai un ami qui avait bypass un captcha google d'un jeu pour empêcher de flood account creation, juste en tapant directement dans l'endpoint

Je confirme: tu dis n'importe quoi
La reponse au challenge recaptcha est produite coté front, le résultat est vérifié coté serveur.

Le 09 juillet 2023 à 23:55:31 :

Le 07 juillet 2023 à 14:23:54 :

Le 05 juillet 2023 à 16:36:22 :
Tu peux utiliser un captcha ou équivalent, issue de google ou non, mais tu pourrais toujours bypass le captcha en tapant directement vers l'endpoint qui traite les données du formulaire

Mdr, n'importe quoi, ton captcha est validé sur le backend hein...

Ceux de google & co te permettent de faire des appels vers chez eux pour check dans le server ?? Si tu le fais sur ton propre server je dis pas, tu généres quelque chose et si la clé n'est pas le body tu rejetes, mais dans ce cas tu peux juste mettre des nonces pour être sur que ce qui tape dans l'endpoint à bien été d'abord générer dans une page.

J'ai un ami qui avait bypass un captcha google d'un jeu pour empêcher de flood account creation, juste en tapant directement dans l'endpoint

On ne fait pas de vérification de sécurité côté front. C'est une erreur de base.

Le 10 juillet 2023 à 03:26:35 :

Le 09 juillet 2023 à 23:55:31 :

Le 07 juillet 2023 à 14:23:54 :

Le 05 juillet 2023 à 16:36:22 :
Tu peux utiliser un captcha ou équivalent, issue de google ou non, mais tu pourrais toujours bypass le captcha en tapant directement vers l'endpoint qui traite les données du formulaire

Mdr, n'importe quoi, ton captcha est validé sur le backend hein...

Ceux de google & co te permettent de faire des appels vers chez eux pour check dans le server ?? Si tu le fais sur ton propre server je dis pas, tu généres quelque chose et si la clé n'est pas le body tu rejetes, mais dans ce cas tu peux juste mettre des nonces pour être sur que ce qui tape dans l'endpoint à bien été d'abord générer dans une page.

J'ai un ami qui avait bypass un captcha google d'un jeu pour empêcher de flood account creation, juste en tapant directement dans l'endpoint

Je confirme: tu dis n'importe quoi
La reponse au challenge recaptcha est produite coté front, le résultat est vérifié coté serveur.

My bad, je pensais que que google recatpcha c'était full front (Sous entendu, dans le back de google pas dans le tiens)

Le 10 juillet 2023 à 13:03:11 :

Le 09 juillet 2023 à 23:55:31 :

Le 07 juillet 2023 à 14:23:54 :

Le 05 juillet 2023 à 16:36:22 :
Tu peux utiliser un captcha ou équivalent, issue de google ou non, mais tu pourrais toujours bypass le captcha en tapant directement vers l'endpoint qui traite les données du formulaire

Mdr, n'importe quoi, ton captcha est validé sur le backend hein...

Ceux de google & co te permettent de faire des appels vers chez eux pour check dans le server ?? Si tu le fais sur ton propre server je dis pas, tu généres quelque chose et si la clé n'est pas le body tu rejetes, mais dans ce cas tu peux juste mettre des nonces pour être sur que ce qui tape dans l'endpoint à bien été d'abord générer dans une page.

J'ai un ami qui avait bypass un captcha google d'un jeu pour empêcher de flood account creation, juste en tapant directement dans l'endpoint

On ne fait pas de vérification de sécurité côté front. C'est une erreur de base.

D'où mes autres réponses