Tabnews - Problemas de segurança?

lucaswilliams excelente teste meu caro! Tudo isto faz parte do amadurecimento da plataforma, então muito obrigado por fazer esta publicação e reportar seus resultados 🤝 Eu alterei levemente a formatação da sua publicação, pois para alguns itens não era possível de ler sem a quebra de linha.

Em paralelo, eu recebi os alertas de 429 e muito obrigado por destacar as contas. Acabei de fazer o Nuke delas e os saldos devem ser revertidos 🤝

Com certeza ao longo do caminho iremos melhorar a segurança contra estes tipos de abuso e não deixe de continuar a deixar esse espaço aqui mais seguro, onde a cada passo que dermos nesse sentiro, iremos reportar aqui 💪

Em paralelo, sugiro fazer este tipo de teste no Ambiente de Homologação, como apontado por GabrielSozinho nesta publicação para não criar ruído no ambiente que todo mundo está usando para valer. O Ambiente de Homologação é uma cópia exata do de Produção, porém com outro banco de dados. Fora isso, ele é muito mais devagar, mas você irá conseguir realizar qualquer tipo de teste.

Abração meu caro e seja muito bem vindo ao TabNews 🤝

Quero aqui também colocar meu ponto de vista sobre a questão.

Acredito que todos concordam que segurança é mais do que importante, é importantíssimo, fundamental.

Contudo, nada nessa vida sai de graça, e, segurança tem preço alto.

Quando falo em preço, não me refiro a dinheiro, mas a situações que devem ser cuidadosamente analisadas, antes de simplesmente sair "travando tudo".

Certa vez ouvi uma frase que gostei muito: "Burocracia não é segurança", e eu nunca mais esqueci disso.

Vou sitar dois fatores que acho que devem ser pensados com calma.

#Segurança mal aplicada, pode nos afastar da cultura principal do projeto.

Copiando as palavras do próprio Filipe, o objetivo do tabnews é "um pedacinho diferente de internet".

Como vamos ter um pedaço diferente, fazendo igual ao que já tem?

Não estou defendendo segurança 0, repito. Defendo sim, segurança com inteligência e cuidado, sem tirar a liberdade dos usuários.

O segundo ponto: Acessibilidade e segurança, se não forem bem combinadas, resulta em exclusão de uma menoria.

Quando você insere captcha, por exemplo, se esse sistema de captchas não funcionar bem com leitor de telas, você vai perder pessoas com deficiência usuárias de leitor de telas, que, vendo-se na dependência de um alguém para ter de ajudar a logar, criar conta ou publicar algo, vai desistir.

Alguém levantará a questão: "As redes estão aí, e tem captcha, e não tem pessoa com deficiência entrando"? Sim, tem. Por isso, é interessante pesquisar que tipo de sistema as redes mais populares estão usando e como elas aplicam isso. Sou um pouco ignorante com o mundo web, então não sei dizer exatamente como eles implementam, mas, é bom sempre pegar no que está dando certo.

O google, por exemplo, tem um sistema de captcha muito bom e acessível.

Mas, sinceramente... eu ainda acho que, se tiver uma outra forma de adicionar segurança sem captcha, seria melhor, rs.

A autenticação de dois fatores é um outro problema ignorado pelas grandes redes.

Eu sou cego. Graças a Deus, tive a oportunidade de aprender alguma coisa sobre tecnologia. Não tenho nenhuma dificuldade em pegar meu telefone e ler um sms que me chega com um código e digitar no meu computador. Mas, acreditem, eu não sou maioria entre meus colegas. Não, não é pretenção, não sou ninguém tão importante e gênio, mas, falo de uma realidade que vivo.

Agora, uma das ideias colocadas aqui e que apoio sem ressalvas é a denúncia de postagens e até um controle razoável de postagens por minuto.

Bom, desculpe se disse algo demais ou ofendi alguém, mas, senti vontade de trazer também minha maneira de enxergar o tema.

Ótima análise, e bons pontos a serem considerados. Como já foi dito nos comentários incorporar um captcha, embora efetivo, prejudicaria a usabilidade e dificultaria o uso da API pela comunidade.

Como o Deschamps já mencionou nos comentários, ele foi notificado do grande número de requisições, além de você ter sido bloqueado algumas vezes, sendo assim já existem mecanismos de proteção que podem e vão ser aprimorados.

Minhas sugestões:

• Registrar o id do usuário e o texto digitado quando houver um bloqueio temporário ou um 429. Permitindo uma revisão dos administradores para identificar bots e spams.
• Aumentar o tempo de bloqueio para bloqueios consecutivos, assim, se um usuário for boqueado repetidas vezes o bloqueio não seria de apenas 20 minutos sempre (Também sugerido pelo autor do post);
• Adicionar bloqueios longos, como forma de disciplinar usuários, com bloqueios de 1 dia até 1 semana, por exemplo. Podendo ser aplicada automatica ou manualmente através da ferramenta proposta no item 1;
• Adicionar um banimente permanente, em casos identificados como spam ou bot. Podendo ser aplicada automatica ou manualmente através da ferramenta proposta no item 1 (Também sugerido pelo autor do post).

Acredito que com essas proteções nos comentário e novos posts, a distribuição de tabcoins estaria mais protegida, tornando desnecessário, em um primeiro momento, uma limitação de upvotes e downvotes.

Primeiro, parabens pelo esforço que você fez pela comunidade... Sobre suas sugestōes, captcha pra comentar é complicado hein, cai matar a usabilidade antes mesmo de lançar a plataforma.

Por sorte temos uma gigante pensando em como resolver esses mesmos problemas com bots - o twitter... Quem sabe eles venham com uma solução interessante.

Será que, como o modelo vai envolver valor monetário, não faz sentido requisitar validação de identidade para poder postar/comentar?

lucaswilliams eu gostei da publicação e do intento da mesma, desde já gostária muito de ver aqui na um tutoriais preferencialmente prático sobre S.I. Outro sim gostei da conversa amig]avel com o filipedeschamps e o GabrielSozinho. Viva Tabnews! Força Tabnews!

Em relação ao login, não há autenticação em dois fatores

que observação fantástica eu me cadastrei ontem também achei muito fácil a criança da conta mais não tive tempo de navegar pof toda a plataforma.

Acho que dava pra fazer um sistema que quando o usuario começa a criar contas zumbis desenfreado, a API começa a exigir o consumidor a fazer operações intensivas do nivel de minerar bitcoin e retornar o resultado pra API pra ela aprovar o request. e a cada novo request ele aumenta a intensidade.

Precisam resolver esse problema urgentemente! Vlw por contribuir!

Sou advogado e venho acompanhando algumas decisões judicias em que empresas, inclusive do governo, são condenadas por falta/falha de segurança nos sites, principalmente na hora de formalizar o cadastro.

Um dos casos é pela falta de informar a porta lógica de origem e assim não conseguem provar quem efetuou a fraude.

Outra coisa que indago é a foto segurando um documento. Essa foto vai estar armazenada em algum lugar, certo? Quem consegue provar que essa foto não pode ser usada indevidamente para efetuar outros cadastros?

Tenho várias dúvidas e se puderem me ajudar fico agradecido.

Ótimo relato, futuras mudanças poderão reduzir possiveis spams e farms de tabcoins, com o crescimento do tabnews esse tipo de comportamento pode se tornar recorrente.

A implementação de captcha para postagens ficaria algo muito massivo e chato, adoro o tabnews por conta de sua simplicidade.

Acho que isso também não seja um problema ( não cheguei a testar, por isso digo que acho que não seja ) pois um dos pre-requisitos para a criação de contas seria a ativação de sua conta em seu email.

Mesmo assim, seria interessante um tipo de captcha no registro para evitar scripts automatizados de criação de contas.

Ótimo review lucas! \O/

Esse tipo de vunerabilidade é muito comum em redes sociais, principalmente Instagram e Facebook, e ainda é um problema para eles, mas eles tem uma maneira bem criativa e que ajuda na detecção de bot, fazem isso observando qual é o comportamento do usuário dentro da plataforma, como por exemplo a velocidade de digitação, ou a posição do mouse, o que despertar a duvida de "esse comportamento é humanamente possivel?", se ele for muito "certeiro" e rapido abre se um alerta, ao repetir isso algumas vezes ele bloqueia e não aceita ao iterações feitas anteriormente, como uma penalidade

nossa quando eu vejo esses tipos de postagens meus olhos brilham, otimas observações as suas. Quando mais seguro tiver esse ambiente mais pessoas vão querer fazer parte do processo ainda sou iniciante na área e quero muito poder debater e ajudar a resolver esses tipos de problema.

Contribuição sensacional!!! Valeu

Cara...incrível! parabéns pela visão!

Simplesmente incrível, acho muito interessante a própria comunidade apoiando o desenvolvimento da plataforma em vários pontos.

Muito bom! Bem observado e com boas sugestões de soluções. O face hoje em dia por muito pouco anda dando bloqueio nas contas de anúncios. Acho que usam IA para aprender termos proibidos e bloquear.

e se limitar a criação de contas por ip?

Estive pensando sobre a maneira mais simples de resolver esses problemas.

Um sistema de denúncia de spam.

Se um post receber um número X de denúncias além do saldo de up/down votes, o post é apagado e o usuário fica banido por um tempo.

Se um mesmo usuário for banido 3 vezes dentro de um determinado período, a conta é suspensa por um período muito maior ou para sempre e, o mais importante, os upvotes retirados, prejudicando a conta principal do usuário, que estaria recebendo os upvotes das contas de spam.

Acredito que a segurança deve ser mais pensada agora que lançamos, mas não deve ser bruta para não espantar as pessoas, por exemplo, se a pessoa quiser comentar e precisar passar por um captcha antes, vai ser uma experiência negativa que pode afetar a permanência dela no site. Então o correto seria definir um total de comentários consecutivos antes de necessitar do captcha, assim como no login. No cadastro é bem possível a utilização de captchas, não vejo problemas, mas acho que isso não impede a criação do que você chama de "contas zumbis", precisaria pedir algo que é único a cada usuário, no caso temos o e-mail, mas ele pode ser gerado facilmente com aqueles e-mails temporários, o mais viável que eu consigo pensar é perguntar o número de celular da pessoa para validar, uma pessoa tem geralmente um único número, e como é um número de celular, não chega a ser uma pergunta pessoal como RG ou CPF, o que também espantaria usuários.

Excelente postagem! Trabalho com marketing para startups, entrei na plataforma após ver o vídeo no youtube, fiquei interessado na parte de anúncios futuros. Logo percebi que era possível fazer um farm de cash devido à simplicidade atual da plataforma e se soubesse programar estaria nesse momento fazendo isso.

Se eu, um marketeiro safado pensei nisso logo que vi o vídeo e me cadastrei facilmente, outros já podem estar executando...

E de certa forma é "fácil" ter postagens diferentes para talvez dificultar a identificação do bot, a pessoa pode pegar postagens de outros foruns e deixar num repositório, junto de comentários das próprias postagens.

É possível? Não sei, eu sou um marketeiro safado, vocês são os devs. O que me dizem?

Muito interessante ver a propria comunidade ja engajada em criar soluçoes de problemas que seriam uma dor de cabeça no futuro.

Esta questão pode ser resolvida de algumas formas, mas como se trata de segurança, o ideal é que seja discutida com a equipe de dev internamente, uma vez que expondo as soluções aqui um atacante teria muitas ferramentas para tentar de outras formas.

A recomendação que eu fiz no meu post mais cedo talvez ajude a resolver este problema usando blockchain, tornaria inviável a criação de um bot para tal.

Creio que se implementasse autenticação de dois fatores com número de celular antes de poder receber as tabcoins ou para poder liberar o uso delas na plataforma dificultaria o uso indevido de contas fantasmas para gerar tabcoins.

Ahh, então foi você hahah. Eu vi as postagens da conta e exclui todas elas um pouco depois, assim o saldo delas ficou negativo. Eu comentei em duas delas (mrx e robot) dizendo para você realizar testes no ambiente de homologação. Depois fiquei monitorando por um tempo pra ver se ainda era publicado alguma coisa.

Creio que deveria ter dado nuke logo na conta, para dificultar esse tipo de coisa, ainda mais porque as contas nunca haviam postado nada com valor concreto.

Cara, que legal. Assim a comunidade cresce e melhora. Ótimo post.

Muito bom trabalho!
Acho que seria pertinente abrir uma issue no projeto com esse estudo, as discussões que estão ocorrendo nos comentários seriam melhores aproveitadas no github.

Muito interessante ver pontos de segunrança da qual sou capaz de analisar também, muito bom o relatorio de modo geral, montarei relatorios como esse.

Que visão fantástica, como descobriu sobre esses aspectos?

Duas alternativas para mitigar esse comportamento seria o de incorporar um elemento de controlo que actuasse sobre custo ou tempo. Isto é, se o atacante tivesse que aguardar um determinado tempo para fazer publicações ou actuar na aplicação, ele teria que distribuir em complexidade e tempo o método de ataque, aumentando exponencialmente o tempo de execução desde, enquanto aumentaria a probabilidade de ter escrutínio social com downvotes). Ou em alternativa um custo por operação que torne execução do ataque excessivamente caro e então proibitivo.

Muito interessante esse posto! Não sabia de algumas coisas que foram faladas.

Ótimos pontos. Eu já tinha imaginado um pouco do que você falou e agora me confirmou. Realmente é preciso pensar mais um pouco na segurança.

Creio que o garimpo ja está rolando solto aqui, afinal qual sentido desse tipo de publicação => "Elon Musk compartilha foto de... " ????

Ótimos pontos logo que fiz o cadastro achei muito simples também, mas como será OpenSoure acredito que a comunidade estará sempre atenta e tentando melhorar. Eu serei um deles ☝️

Padrão sua análise, muito bem colocado. Poderia ser útilizado o captcha para evitar automações. Também seria válida uma autenticação do usuário por documento, sendo opcional, mas que limitasse a conta sem verificação a um limite diário de conquista de TabCoins/ TabCash.