]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blob - doc/bugs/emailauth_bypasses_account__95__creation__95__password.mdwn
specifically something to block certain bad words
[git.ikiwiki.info.git] / doc / bugs / emailauth_bypasses_account__95__creation__95__password.mdwn
1 I have had the following in my `ikiwiki.setup` since 2016:
3     account_creation_password: XXXXXXXXXXXX
5 The XXX is made of lowercase, uppercase and digits, randomly generated. I would expect this to stop any account creation. Yet new accounts get created all the time:
7     w-anarcat@marcos:~/source/.ikiwiki$ perl -le 'use Storable; my $userinfo=Storable::retrieve("userdb"); print $userinfo->{$_}->{regdate} foreach keys %$userinfo'  | sort -n | tail -10
8     1587487021
9     1587574304
10     1587695540
11     1587770285
12     1588354442
13     1588409505
14     1589257010
15     1589834234
16     1590175162
17     1590176201
19 The last two timestamps, for example, are today. I'm not absolutely certain, but I believe that account is an [[plugins/emailauth]] account:
21           'zemihaso_hfdsf.sadsdskfm.com' => {
22                                               'regdate' => 1590175162,
23                                               'passwordless' => 'd8de5ec25cfd68e64318fe6353c6428a',
24                                               'subscriptions' => 'comment(blog/2020-04-27-drowning-camera)',
25                                               'email' => 'zemihaso@hfdsf.sadsdskfm.com'
26                                             },
28 It's obviously a spammer. It seems to be attacking my wiki by doing the following:
30  1. register an account with emailauth
31  2. subscribe to the page
32  3. spam the page with a comment
33  4. which then sends email to the victim(s)
35 It's all kind of a mess. I'm at the point in my [[todo/anti-spam_protection]] where I am seriously considering disabling all user registration and all comments on all pages. Maybe delegate this to Mastodon or some other third-party commenting system, because I'm just tired of dealing with spam and bounces...
37 Anyone else seeing this? Shouldn't the `account_creation_password` setting apply to emailauth? What else am I missing?
39 Thanks! -- [[anarcat]]