• # Plusieurs couches de contrôle

    Posté par . En réponse au message Mediawiki : paramètres de création de comptes.. Évalué à 6.

    Je suis d'accord avec toi qu'un compte ne devrait pas pouvoir aller modifier la page d'un copain/concurrent. Peut-être que MediaWiki permet de faire ça, en mode page perso. Mais peut-être que ça veut dire qu'un Wiki n'est pas la bonne solution technique ? On dirait que tu as plus besoin d'un truc genre "un compte -> une page".

    99% de spam, tu es dans la norme, et c'est triste :(.

    C'est pour ça que les créations de comptes passent maintenant par divers filtres, comme les CAPTCHA (qui ne sont pas toujours accessibles), les validations par e-mail (qui posent un problème de collecte de données perso), et autres.

    Et une fois que tu as fiabilisé la création de comptes (et perdu quelques personnes découragées au passage), il reste la maintenance de sécurité, sinon au moindre bug, ton MediaWiki ou Wordpress se fait injecter du contenu et des virus par des bots même pas authentifiés.

    Bref, tu dois avoir une porte d'entrée solide, et avoir de quoi contrôler derrière.

    À minima, donc :

    • CAPTCHA
    • validation du compte par e-mail
    • Double authentification (pour limiter l'impact du vol de mot de passes)1
    • Veille sur les bugs et trous de sécurités (mises à jours automatiques ?)

    La validation manuelle est peut-être le plus fiable, mais risque d'être hyper chronophage : les bots ne dorment pas.

    Si tu veux aller plus loin, mettre des mécanismes actifs comme :

    • Brider l'origine des IPs qui peuvent participer. Comme ton projet est centré sur la France, ça peut avoir du sens, qui à oublier les personnes qui arrivent de Tor.
    • Firewalls applicatifs
    • un IPS (Snort par exemple)
    • Avoir un système qui te signale les pages qui contiennent certains mots clés comme potentiellement hors-sujet.
    • Un indispensable jardinage, comme pour tous les Wikis.

    Bon courage !


    1. à minima pour les comptes admin