<div dir="ltr">Sure.. So a couple of thoughts:<div><br></div><div>1. If the attack vector involves creating a launchpad account, there's not much we can do about that portion (account creation).   But, we could potentially force the user to do a re-captcha when they want to edit / insert content.   This doesn't fix the creation of fake accounts, but at least enables a basic check of humanity before editing is allowed. </div><div><br></div><div>2. It was discovered that the mobile view does not invoke the SSO via launchpad.  While it appears this is unrelated to the spam and should take a lower priority, I would propose going ahead and fixing this for good measure.</div><div><br></div><div>3. Longer term - using OpenStack ID instead of LaunchPad.  Would have to either implement a sunset period as Martin suggested or have the user authenticate to both SSO providers creating a relationship in the users table of mediawiki.   The ability / complexity of such an approach would need to be investigated. </div><div><br></div><div>Input is welcome.  I'll investigate whatever path people agree with and welcome other suggestions. </div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span style="font-family:arial,helvetica,sans-serif">J.P. Maxwell / <a href="http://www.tipit.net" target="_blank">tipit.net</a> <br><br></span></div></div></div></div></div>
<br><div class="gmail_quote">On Wed, Feb 17, 2016 at 2:21 PM, Elizabeth K. Joseph <span dir="ltr"><<a href="mailto:lyz@princessleia.com" target="_blank">lyz@princessleia.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, Feb 15, 2016 at 7:46 AM, Jeremy Stanley <<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>> wrote:<br>
> On 2016-02-15 09:04:41 -0600 (-0600), JP Maxwell wrote:<br>
>> Tom, yes we can probably help. Do you want to ping me off list -<br>
>> need to get some more info about how it is setup / version<br>
>> controlled / deployed / etc.<br>
><br>
> Our openstack_project::wiki class[1] calls into our mediawiki Puppet<br>
> module[2]. Ryan Lane set up and maintained most of this for us while<br>
> he was at WMF, but since he's moved on to other things it's fallen<br>
> into some disuse so assistance is appreciated!<br>
><br>
> [1] <a href="http://git.openstack.org/cgit/openstack-infra/system-config/tree/modules/openstack_project/manifests/wiki.pp" rel="noreferrer" target="_blank">http://git.openstack.org/cgit/openstack-infra/system-config/tree/modules/openstack_project/manifests/wiki.pp</a><br>
> [2] <a href="http://git.openstack.org/cgit/openstack-infra/puppet-mediawiki/tree/" rel="noreferrer" target="_blank">http://git.openstack.org/cgit/openstack-infra/puppet-mediawiki/tree/</a><br>
<br>
</span>As Jeremy points out, our infrastructure is all open source so I'd<br>
prefer to keep this discussion here on the list so we can all pitch<br>
in. I don't see any active patches for this yet (please let me know if<br>
I've missed anything).<br>
<br>
Another data point: Canonical IS also uses Launchpad authentication,<br>
like we do, for edits to their Ubuntu wikis and have been hit pretty<br>
hard by spammers this week (initial attacks go back to December). They<br>
are on MoinMoin, we're on Mediawiki, so wiki-side anti-spam proposals<br>
will differ, but I've been keeping an eye on any solutions they may<br>
propose for altering how SSO is being handled for their wiki to<br>
perhaps shut these spammers down before they get a chance to edit.<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Elizabeth Krumbach Joseph || Lyz || pleia2<br>
</div></div></blockquote></div><br></div>