User Tools

Site Tools


doc:appunti:linux:sa:mediawiki_account_spam

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
doc:appunti:linux:sa:mediawiki_account_spam [2021/02/02 17:46] – [Installazione] niccolodoc:appunti:linux:sa:mediawiki_account_spam [2021/02/02 18:10] (current) – [MediaWiki abuso di CreateAccount] niccolo
Line 1: Line 1:
 ====== MediaWiki abuso di CreateAccount ====== ====== MediaWiki abuso di CreateAccount ======
  
-Il software **MediaWiki**, per impostazione predefinita, consente la **creazione di account** senza particolari formalità. È sufficiente visitare la pagina **Speciale:CreaUtenza** (in inglese **Special:CreateAccount**), non è neanche necessario fornire un indirizzo email valido.+Il software **[[https://www.mediawiki.org/wiki/MediaWiki|MediaWiki]]**, per impostazione predefinita, consente la **creazione di account** senza particolari formalità. È sufficiente visitare la pagina **Speciale:CreaUtenza** (in inglese **Special:CreateAccount**), non è neanche necessario fornire un indirizzo email valido.
  
 Questo in generale causa la **registrazione di account fasulli** che eventualmente verranno usati per **vandalizzare** le pagine del sito. Qui vediamo alcune tecniche utili per rimuovere gli account fraudolenti e alcune impostazioni per limitarne la registrazione. Questo in generale causa la **registrazione di account fasulli** che eventualmente verranno usati per **vandalizzare** le pagine del sito. Qui vediamo alcune tecniche utili per rimuovere gli account fraudolenti e alcune impostazioni per limitarne la registrazione.
Line 20: Line 20:
 Normalmente il wiki presenta in alto a destra il link **Registrati** che rimanda alla pagina **Speciale:CreaUtenza**. La procedura è libera **non presenta alcun tipo di controllo**. Normalmente il wiki presenta in alto a destra il link **Registrati** che rimanda alla pagina **Speciale:CreaUtenza**. La procedura è libera **non presenta alcun tipo di controllo**.
  
-È utile installare l'estensione **[[https://www.mediawiki.org/wiki/Extension:ConfirmAccount|ConfirmAccount]]**; in questo modo il link in alto a destra diventerà **Richiesta account** e porterà alla pagina **Speciale:RichiediUtenza**. La compilazione della richiesta genera l'invio di una mail all'indirizzo che deve essere specificato nella form. Dopo che l'utente avrà visitato il **link di conferma** incluso nella mail, il sysop vedrà la sua richiesta nella pagina **Speciale:ConfermaUtenza** con la scritta **confermato** accanto all'indirizzo email.+È utile installare l'estensione **[[https://www.mediawiki.org/wiki/Extension:ConfirmAccount|ConfirmAccount]]**; in questo modo il link in alto a destra diventerà **Richiesta account** e porterà alla pagina **Speciale:RichiediUtenza** (in inglese **Special:RequestAccount**). La compilazione della richiesta genera l'invio di una mail all'indirizzo che deve essere specificato nella form. Dopo che l'utente avrà visitato il **link di conferma** incluso nella mail, il sysop vedrà la sua richiesta nella pagina **Speciale:ConfermaUtenza** (in inglese **Special:ConfirmAccounts**) con la scritta **confermato** accanto all'indirizzo email.
  
 :!: **ATTENZIONE** Sebbene il link **Registrati** in alto a destra venga sostituito dal link **Richiesta account**, in realtà la pagina **Speciale:CreaUtenza** è ancora funzionante: basta digitare esplicitamente l'URL! È necessario quindi attivare una restrizione per **togliere la facoltà di creare utenti** a chi non è sysop (vedere avanti). Pare che questo sia un bug ancora non risolto (risalente al 20 settembre 2020), come riportato dalla [[https://www.mediawiki.org/wiki/Extension:ConfirmAccount|pagina wiki dell'estensione]]. :!: **ATTENZIONE** Sebbene il link **Registrati** in alto a destra venga sostituito dal link **Richiesta account**, in realtà la pagina **Speciale:CreaUtenza** è ancora funzionante: basta digitare esplicitamente l'URL! È necessario quindi attivare una restrizione per **togliere la facoltà di creare utenti** a chi non è sysop (vedere avanti). Pare che questo sia un bug ancora non risolto (risalente al 20 settembre 2020), come riportato dalla [[https://www.mediawiki.org/wiki/Extension:ConfirmAccount|pagina wiki dell'estensione]].
Line 29: Line 29:
  
 <code php> <code php>
 +// Enable page Special:RequestAccount which requires email verification.
 wfLoadExtension('ConfirmAccount'); wfLoadExtension('ConfirmAccount');
 </code> </code>
Line 45: Line 46:
  
 <code php> <code php>
 +// Disable page Special:CreateAccount for all users, except sysops.
 $wgGroupPermissions['*']['createaccount'] = false; $wgGroupPermissions['*']['createaccount'] = false;
 </code> </code>
  
-In questo modo la pagina **Speciale:CreaUtenza** (che generalmente produce la form **Registrati**diventa inaccessibile ai normali utenti e a chi non ha effettuato il login. Se viene richiesta la pagina si ottiene il messaggio **Permessi non sufficienti**.+In questo modo la pagina **Speciale:CreaUtenza** (in inglese **Special:CreateAccount**) che generalmente produce la form **Registrati**diventa inaccessibile ai normali utenti e a chi non ha effettuato il login. Se viene richiesta la pagina si ottiene il messaggio **Permessi non sufficienti**.
  
 Si può essere ancora più restrittivi aggiungere anche la riga: Si può essere ancora più restrittivi aggiungere anche la riga:
  
 <code php> <code php>
 +// Disable page Special:CreateAccount even for sysops.
 +// Page Special:ConfirmAccounts will be useless.
 $wgGroupPermissions['sysop']['createaccount'] = false; $wgGroupPermissions['sysop']['createaccount'] = false;
 </code> </code>
Line 58: Line 62:
 in questo modo anche all'amministratore verrà impedito di creare un nuovo account, in **Pagine speciali** scompare il link **Speciale:CreaUtenza** che normalmente compare sotto la scritta **Registrati**. in questo modo anche all'amministratore verrà impedito di creare un nuovo account, in **Pagine speciali** scompare il link **Speciale:CreaUtenza** che normalmente compare sotto la scritta **Registrati**.
  
-Eventuali richieste di iscrizione pendenti potranno essere ancora viste dal sysop nella pagina **Speciale:ConfermaUtenza** (link **Richieste conferma account**), ma non sarà possibile completare l'operazione che richiede accesso alla pagina inibita ''Speciale:CreaUtenza''.+Eventuali richieste di iscrizione pendenti potranno essere ancora viste di sysop nella pagina **Speciale:ConfermaUtenza** (in inglese **Special:ConfirmAccounts**) raggiungibile dal link **Richieste conferma account**, ma non sarà possibile completare l'operazione che richiede accesso alla pagina inibita ''Speciale:CreaUtenza''.
  
 Tutte le operazioni viste sopra non disabilitano tuttavia la pagina **Speciale:RichiediUtenza** (in inglese **Special:RequestAccount**), quindi sarà sempre possibile chiedere l'attivazione di un nuovo account compilando il form in questione. Tale azione genera **l'invio di una mail** all'indirizzo specificato, questo meccanismo potrebbe essere abusato per inviare numerose mail non desiderate. Tutte le operazioni viste sopra non disabilitano tuttavia la pagina **Speciale:RichiediUtenza** (in inglese **Special:RequestAccount**), quindi sarà sempre possibile chiedere l'attivazione di un nuovo account compilando il form in questione. Tale azione genera **l'invio di una mail** all'indirizzo specificato, questo meccanismo potrebbe essere abusato per inviare numerose mail non desiderate.
Line 65: Line 69:
  
 <code php> <code php>
 +// Disable page Special:RequestAccount to prevent sending of confirmation email.
 wgSpecialPages['RequestAccount'] = DisabledSpecialPage::getCallback('RequestAccount'); wgSpecialPages['RequestAccount'] = DisabledSpecialPage::getCallback('RequestAccount');
 </code> </code>
doc/appunti/linux/sa/mediawiki_account_spam.1612284393.txt.gz · Last modified: 2021/02/02 17:46 by niccolo