纪念衫征集
查看: 1069|回复: 1

关于论坛的anti-spam机制

[复制链接]
阅读字号:
发表于 2019-7-21 12:59 | 显示全部楼层 |阅读模式
一直以来都觉得论坛的spam对策基本上效果不大,今天终于闲来无事试了一下,果然发现存在一些问题。

现行的anti-spam机制(个人测试,不一定对):
1、新用户注册600分钟内禁止发言
2、禁止同一IP短时间连续注册
3、关键词屏蔽(以前有,现在也大概有)
4、禁言、禁止访问(事后措施)
5、注册时的问答验证

现行机制存在的问题:
1、2 对SPAM软件来说没有影响。

3、容易误伤一般网友
4、主要依靠事后举报人工处理,夜间时段无人值守易被攻破。
其他:

※Discuz系统自身存在的漏洞等问题,且现在官方维护频率远不如前。
5、注册阶段存在的问题

i)论坛注册有E-mail一项,但如下图所示,输入任意的[email protected]形字符即可通过,且无邮箱验证要求

1.png
ii) 2.png
如上图所示,有针对SPAM软件恶意注册设置的验证问答,但验证问答仅有一问并可简单绕过(新站注册)
至于新站的注册,则更为简单。
a. 3.png
如上图所示,与论坛同样,只要在邮箱一栏输入[email protected]形式的字符即可通过,且无邮箱验证要求
b. 4.png
如图所示,任何人都能轻松辨识的英文字符,对于OCR软件来说更是不在话下


网站安全相关:https与http混在,存在安全性问题。


建议:
I 新站和论坛都引入邮箱验证,不通过邮箱验证不允许发言
II 多设置几个验证问答,随机出题;禁止采用通过新站注册等方式绕过验证问答。(这种问题答不出来的人说实在也没有必要注册百合会)
III 增强新站注册验证码难度,加大OCR识读的难度。
IV 增强网站安全性


暂时想到这些,不是太了解discuz的动作机制,有什么不对的地方欢迎批评指正


评分

参与人数 3积分 +108 收起 理由
bori + 5 感謝大大
筱林透 + 100 总之先加分!
坟头纳彩 + 3 我很赞同

查看全部评分

发表于 2019-7-22 01:08 | 显示全部楼层
……感谢指出问题,论坛邮箱没有验证似乎主要是之前服务器接收问题,一旦开启验证,就有很多人收不到邮件……所以迟迟没有敢开启!如果你有这个方面的处理经验,可以私信联系我,我们会予以配合!
您需要登录后才可以回帖 登录 | 成为会员

本版积分规则

Archiver|手机版|小黑屋|百合会 ( 苏公网安备 32030302000123号 )

GMT+8, 2024-11-24 19:43 , Processed in 0.060538 second(s), 25 queries , Gzip On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表