Spam sur les instances Hedgedoc

Tech Securité
1

Coucou, pour info j’ai ouvert une issue sur le repo d’Hedgedoc à propos du spam sur les instances.
J’ai réalisé aujourd’hui l’ampleur du phénomène, et j’ai réalisé qu’il n’y avait aucune feature de modération sur Hedgedoc.

J’ai tout détaillé ici :

J’ai proposé des fonctionnalités qui permettraient de réduire le spam, notamment en me servant des fonctionnalités de Mobilizon pour le combattre (qui est aussi très touché par le spam !) et d’un outil complémentaire qu’on avait codé à Picasoft.

Si vous avez d’autres idées à proposer ici ou sur l’issue, ça m’intéresse !

6 Likes
2

Peut être en lien avec Aleks qui a rapporté ça aussi ailleurs aujourd’hui même.

Ce qui me pose question c’est que faire du référencement ne devrait pas fonctionner si il y a du noindex,nofollow sur les instances… Est-ce le cas ?

Sur l’instance de globenet, il y a le header qui va bien X-Robots-Tag « noindex, nofollow » mais quand je teste coopaname, non.

Peut être une régression ou un réglage par défaut, un manque dans la doc d’installation ?

3

Oui, on a découvert ça ensemble avec Aleks sur l’instance de Coopaname.

Je ne crois pas qu’il y ait d’option pour ajouter ce header dans Hedgedoc. La doc suggère que ça se fait pad par pad.
Globenet l’a sûrement ajouté au niveau du reverse-proxy ?

Côté Coopaname, je l’ai mis puis volontairement désactivé pour voir ce que dit la recherche Google dans une semaine ou deux. Voir si j’ai d’autres pads à supprimer que j’avais pas repérés (déjà supprimé 40k pads).

1 Like
4

Après le gros travail de défrichage de Pomme, j’ai un petit peu continué, indexé la table (postgresql) content pour accélérer les recherches (mais pas en TS_vectore, il y a trop de langues asiatiques)…
Pour finalement raisonner sur les « temps d’édition ». La taille des notes n’est pas très révélatrice, ça permet juste déjà de supprimer les vides.

SELECT
    "createdAt",
    "updatedAt",
    "shortid", EXTRACT(EPOCH FROM ("updatedAt" - "createdAt")) AS secondes, LENGTH("content") AS taille_caracteres
FROM "Notes" ORDER BY secondes ASC;

Chouette discussion avec sebian hier qui me rappelait que dès CodiMD, par design, il n’y avait pas de hiérarchie entre utilisateurices, donc pas d’administration non plus…

2 Likes
5

@ppom a itéré cet après-midi, une jointure sur le nombre de révisions semble être une meilleure piste, tout est sur son issue :

6

J’ai créé un script qui cache toutes les notes avec cette heuristique, je l’ai posté dans l’issue pour les personnes que ça intéresse !

Je ping les chatons dont j’ai trouvé une instance Hedgedoc effectivement utilisée pour le spam (pas de honte hein, je pense que toutes les instances ouvertes sont concernées) :
@Libreon @roflcopter.fr @Picasoft

7

Hello, merci pour l’info.
De mon côté, comme Hedgedoc ne propose pas d’outil de modération intégré, la solution de contournement sera simplement de fermer le service.

8

Ah, dommage… Tu peux aussi autoriser les inscriptions et fermer la création de pad sans être inscrit·e, ça devrait bcp limiter : j’ai pas vu de pad de spam avec un compte perso.

9

Oui c’est sûr, après c’est aussi l’occasion de rationaliser l’offre de service de notre côté.
Nous proposons déjà une instance d’Etherpad et Cryptpad :wink:

10

Pour info j’ai finalement eu une réponse d’un mainteneur d’Hedgedoc. L’équipe connait le problème et prévoit d’ajouter des fonctionnalités de modération. Pas pour tout de suite bien sûr, vu qu’on attend la 2.0 depuis un moment. Mais chouette que ce soit dans leur viseur aussi.