Formulario seguro contra fake

[Thiago Duarte 23]

Ola,

 

Gostaria de deixar meu formulario de contato seguro contra fakes.

 

No meu formulario do site pega o ip das pessoas que comentam, mas existem pessoas que mudam o ip pra falar besteira, entao existe alguma forma de deixar mais seguro ?

 

Ex:

 

- Sessão;
- Navegador e versão do mesmo;
- Nome de usuário logado na estação;
- Nome do computador;
- Cookies gravados na maquina;
- Versão do Sistema Operacional;
- Origem do acesso;

Entre outras maneiras, alguem sabe ?

[Rudy_jr 47]

O Ruim é que se ele uasr Proxy também pode mascarar tudo... tem um tópico aqui referente a MAC ADRESS, veja se isso te ajuda de alguma maneira.

 

http://forum.imasters.com.br/topic/492350-pegar-endereo-mac-via-php-possvel/

[shini 318]

solução contra trolls é dificil.

[Thiago Duarte 23]

Se burlar o IP alterando deve ter outras formas de descobrir quem ta fazendo merda...

 

Algumas formas que pesquisei foram essas ai que falei em cima, mas nao sei como pegar essas informacoes por formulario, ninguem sabe ne ?

[Ricardo Saraiva 84]

Assim Thiago infelizmente nesse caso não existe uma boa soução...

O que pode ser feito é dificultar, pode ser usado cookies, session, bloqueio de ip o que no caso dificulta muito pouco.

Ja no caso se você estiver recebendo um numero muito grande contatos indesejados, pode ser que a pessoa esteja ultilizando algum software para nesse caso algum recurso com captacha pode resolver seu problema.

 

Mas infelizemente este é um grande problema que não ha uma solução excelente.

[Thiago Duarte 23]

Assim Thiago infelizmente nesse caso não existe uma boa soução...

O que pode ser feito é dificultar, pode ser usado cookies, session, bloqueio de ip o que no caso dificulta muito pouco.

Ja no caso se você estiver recebendo um numero muito grande contatos indesejados, pode ser que a pessoa esteja ultilizando algum software para nesse caso algum recurso com captacha pode resolver seu problema.

 

Mas infelizemente este é um grande problema que não ha uma solução excelente.

 

Esses exemplos que falei nao ajuda a acabar com isso ?

 

mesmo o cara burlando o ip ai pega o nome de usuario que esta logado entre outros e acaba com isso, nao tem esse jeito ?

[mangakah 217]

Conseguir essas informações que você quer não é tão difícil, mas não é suficiente. Não existe bala de prata e ainda existe o risco de punir inocentes, mas talvez se souber como trabalhar com essas informações e criar uma política de sanções eficiente, você conseguirá ao menos minorar o problema.

 

Sessões: $_SESSION

 

Cookies: $_COOKIE

 

Dados do navegador e SO: Análise do User-Agent String -> UA-Parser

 

Localização do Usuário: GeoIP

[Thiago Duarte 23]

Essa localizacao do usuario nao funciona direito aqui

 

Eu fui no site http://www.maxmind.com/pt/geoip_demo

 

achei aqui Coordenadas -22.90278, -43.2075

 

dps pesquisei no google maps e achou R. Gen. Luiz Mendes de Morais, 50 - Santo Cristo

 

e nao eh esse local que estou... sera que eu errei em alguma coisa ?

[mangakah 217]

Não é 100%. Mas algo próximo de 95% de acerto para a versão paga. Ele rastreia pelo endereço IP, então muitas vezes o que acaba sendo detectado é o endereço do seu provedor de acesso ou alguma cidade próxima.

 

Há uma outra opção, que é HTML5 Geolocation. Mas só funciona em navegadores modernos e, por razões de proteção a privacidade, requer que o usuário autorize o compartilhamento da localização. Você pode especificar que o usuário só pode postar algo se ele permitir que o navegador entregue sua localização. Mas este também não é 100%, hehe (life is hard).

[Enrico Pereira 299]

Mas para que tanta segurança numa página de contato... basta os comentários dessa página passarem por aprovação.

 

Você ter o IP do cara e o cacete a quatro vai adiantar o que?

[Thiago Duarte 23]

Para saber quem esta falando besteira para poder bloquiar o acesso dessas pessoas.

 

a unica forma que conheço é por ip , mas desconfio que estao camuflando o ip no proxy.

[Enrico Pereira 299]

Essa proteção é utopia. A única forma seria moderação.

[Diego Rinno 35]

Essa proteção é utopia. A única forma seria moderação.

Pois é :/

 

Sem moderação, o máximo que você vai poder fazer vai ser armazenar um cookie no computador do cidadão sem que ele saiba e depois você vai reconhecer que é o computador dele mesmo que ele troque de conta e etc., daí você vai reconhecer quem foi o fdp anjinho que postou besteira :D

 

Mas... limpou os cookies já era a proteção.

 

Resumindo: moderação nas parada, se possível.

[Thiago Duarte 23]

Pois é :/

 

Sem moderação, o máximo que você vai poder fazer vai ser armazenar um cookie no computador do cidadão sem que ele saiba e depois você vai reconhecer que é o computador dele mesmo que ele troque de conta e etc., daí você vai reconhecer quem foi o fdp anjinho que postou besteira :D

 

Mas... limpou os cookies já era a proteção.

 

Resumindo: moderação nas parada, se possível.

 

pelos cookies da para reconhecer que eh ele msm como ?

 

me explica melhor por favor

[Enrico Pereira 299]

Não, a internet é quase uma anarquia. Você não vai conseguir identificar alguém e simplesmente prender pois essa pessoa chegou e xingou.

 

A pessoa pode camuflar o IP e os cookies ela pode apagar. Não há forma de garantir esse tipo de segurança, a não ser que você modere ou tome a atitude de criar uma licença para postar, onde os usuários precisarão se cadastrar e provavelmente fornecer nome completo e CPF, por exemplo, mas acho a segunda uma burocracia muito grande para uma página de contato.

[William Phantom 32]

aproveitando o post, pra sanar um dúvida aqui.

 

eu vejo muito sobre programas que alteram os dados enviados atrávez de post / get (isso não me preocupa tanto, pois eu trato as entradas e saidas), mas será que existe a possibilidade do usuário fazer isso com um $_FILES? e como eu posso tratar?

[Thiago Duarte 23]

aproveitando o post, pra sanar um dúvida aqui.

 

eu vejo muito sobre programas que alteram os dados enviados atrávez de post / get (isso não me preocupa tanto, pois eu trato as entradas e saidas), mas será que existe a possibilidade do usuário fazer isso com um $_FILES? e como eu posso tratar?

 

Oi,não entendi direito o que vc quis dizer

[Edgard Hufelande 27]

 

aproveitando o post, pra sanar um dúvida aqui.

 

eu vejo muito sobre programas que alteram os dados enviados atrávez de post / get (isso não me preocupa tanto, pois eu trato as entradas e saidas), mas será que existe a possibilidade do usuário fazer isso com um $_FILES? e como eu posso tratar?

 

Oi,não entendi direito o que vc quis dizer

 

Ele perguntou se há alguma vulnerabilidade no input do tipo FILES, e se há como tratar.

[Thiago Duarte 23]

Aqui só tem input type text apenas e textarea

[Enrico Pereira 299]

Sim, *QUALQUER* input é vulnerável. Se você não for usar $_FILES, não precisa tratá-lo. Files se trata com validação de extensão e de mime type (os dois, sempre juntos), mas isso se você for usar $_FILES.

 

E existe uma regra básica de segurança: em tudo que vem de fora da aplicação (input, banco de dados, webservice) se trata, sempre, pois é um dado não-confiável.