2012liub 发表于 2013-5-6 09:13:46

综合讨论区出现大量脑残贴

RT

2012liub 发表于 2013-5-6 09:14:45

wuyou 发表于 2013-5-6 09:32:52

已经处理了。

cg.maniac.china 发表于 2013-5-6 10:51:48

wuyou 发表于 2013-5-6 09:32 static/image/common/back.gif
已经处理了。

应该加个关键字过滤。

cg.maniac.china 发表于 2013-5-6 10:52:58

wuyou 发表于 2013-5-6 09:32 static/image/common/back.gif
已经处理了。

又出现了。

2012liub 发表于 2013-5-6 22:02:52

wuyou 发表于 2013-5-6 09:32 static/image/common/back.gif
已经处理了。

其实我觉得可以加个发帖(不包括回复)限制,比如一个小时限制最多发10个主题贴(一般情况下不会超过10个吧)之类的

wuyou 发表于 2013-5-6 22:29:33

2012liub 发表于 2013-5-6 22:02 static/image/common/back.gif
其实我觉得可以加个发帖(不包括回复)限制,比如一个小时限制最多发10个主题贴(一般情况下不会超过10个 ...

一直以来,每小时都有10贴限制。

user1089 发表于 2013-5-8 15:59:56

wuyou 发表于 2013-5-6 09:32 static/image/common/back.gif
已经处理了。

应该限制新人发帖数,不然封了还有新号发,封不过来的

不点 发表于 2013-6-3 19:00:14

新人发帖,一开始都发垃圾帖(嗯,啊,顶之类的无意义帖子,或者广告帖、捣乱帖),这样的新人,直接自动删除帐户得了,不会冤枉他的。多半是攻击论坛的机器人。

也可以定期检查数据库中有多少这样的帖子,要么删除帖子,要么删除帐户。

不点 发表于 2013-6-3 23:26:19

我再出一个主意,现在我们有举报的手段,这是让论坛的会员发挥作用的大好时机。

凡是因举报而被清理掉的帖子,系统计入黑名单,扣一分,如果所扣的分数达到该用户总发帖数的 十分之一,就自动删除账户。这样节省管理员删除账户的劳累。

cg.maniac.china 发表于 2013-6-4 10:57:56

不点 发表于 2013-6-3 23:26 static/image/common/back.gif
我再出一个主意,现在我们有举报的手段,这是让论坛的会员发挥作用的大好时机。

凡是因举报而被清理掉的 ...

清理广告机器人一直是个难题,不知可以从验证码上下功夫吗,把验证码设置得更复杂。

不点 发表于 2013-6-4 16:18:25

本帖最后由 不点 于 2013-6-4 16:19 编辑

cg.maniac.china 发表于 2013-6-4 10:57 static/image/common/back.gif
清理广告机器人一直是个难题,不知可以从验证码上下功夫吗,把验证码设置得更复杂。

我曾经提过类似的问题,但未引起重视。验证码不应对于正常的会员实施,不能够每发一个帖子,都要输入验证码。验证码是专门验证可疑的机器人的。不一定是图片的验证方法,也可以采用提问的方法,只要机器人答错就删除它。如果把问题出在图片上更好。机器人首先要解析图片中经过扭曲了的文字,这已经不容易了。好不容易解析出来之后,答案并非把解析出来的文字抄写上就完了,而是需要动脑筋思考。这难度就增大了许多。

程序首先制定一些判断标准,比如,频繁发帖、定时发帖、发帖内容很短、用户举报率高,等等,只要符合条件,程序就自动强制性地要求机器人回答问题。如果在规定的时间内拒绝回答或者答错,就自动删除帐户。

cg.maniac.china 发表于 2013-6-4 18:54:16

不点 发表于 2013-6-4 16:18 static/image/common/back.gif
我曾经提过类似的问题,但未引起重视。验证码不应对于正常的会员实施,不能够每发一个帖子,都要输入验 ...

万一那是人在发贴怎么办呢,要不先禁言再人工审核删除用户?

不点 发表于 2013-6-4 18:58:02

本帖最后由 不点 于 2013-6-4 19:01 编辑

cg.maniac.china 发表于 2013-6-4 18:54 static/image/common/back.gif
万一那是人在发贴怎么办呢,要不先禁言再人工审核删除用户?

一旦它符合被怀疑的条件,它下次登录之后的第一件事,就是要被询问。它没有机会进入发帖界面。它甚至连看贴、浏览论坛的机会都没有。就是说,锁定它,只让他先通过身份验证,才让它通过。必要时,甚至可以强迫它用手机或固定电话验证。手机发送验证码给它。固定电话可以发送音频验证码给它。然后让它敲入验证码。验证失败,就删除它。

cg.maniac.china 发表于 2013-6-4 19:00:18

不点 发表于 2013-6-4 18:58 static/image/common/back.gif
一旦它符合被怀疑的条件,它下次登录之后的第一件事,就是要被询问。它没有机会进入发帖界面。

但是这个应该怎么实现呢,得找个会PHP的人来做。

cg.maniac.china 发表于 2013-6-4 19:04:34

不点 发表于 2013-6-4 18:58 static/image/common/back.gif
一旦它符合被怀疑的条件,它下次登录之后的第一件事,就是要被询问。它没有机会进入发帖界面。它甚至连 ...

为什么我点回复会出现点评,我明明没有按点评。

不点 发表于 2013-6-4 19:04:44

这年月,程序猿还能是缺物?维护网站,靠的是啥?没有程序猿,网站能建立起来?

a8181811 发表于 2013-6-5 08:23:37

不点 发表于 2013-6-4 16:18 static/image/common/back.gif
我曾经提过类似的问题,但未引起重视。验证码不应对于正常的会员实施,不能够每发一个帖子,都要输入验 ...

DZ默认的验证码早被发帖机攻破了。再说加上验证码很影响正常会员的体验。

cg.maniac.china 发表于 2013-6-5 10:36:10

a8181811 发表于 2013-6-5 08:23 static/image/common/back.gif
DZ默认的验证码早被发帖机攻破了。再说加上验证码很影响正常会员的体验。

可以修改验证码的生成方式。

不点 发表于 2013-6-5 11:26:09

本帖最后由 不点 于 2013-6-5 16:00 编辑

a8181811 发表于 2013-6-5 08:23 static/image/common/back.gif
DZ默认的验证码早被发帖机攻破了。再说加上验证码很影响正常会员的体验。

攻防是无止境的。道高一尺,魔高一丈。但是,安全总比不安全好。为什么你的门要上锁?既然世界上有小偷,而且没有一个万能的锁可以阻止任何小偷进入,那么为什么人们还是要上锁呢?而且只是用普通的锁就可以了,为什么?因为实践中不需要太复杂的锁。

无线路由器的 WPS 漏洞补上之后,再用 PIN 的方法就无效了。目前只剩下抓包跑字典的方法了,可谓困难。将来很可能连抓包也要设置障碍,如果你连抓包都不顺利,看你还怎么破解?这样,用户只要设置一个足够长的密码,安全性就高了。因为字典攻击,成功概率很低。

在攻防当中,攻的难度高,防的难度低。防守方只要稍微改变一些算法,攻击方就得费很大的牛劲去破解。

你家的门被小偷撬了,钱财丢失了。你是不是从此以后都不再锁门了呢?既然锁不管用,你为什么还要锁它呢?

更可能的情况是,你被盗一次,下次就换成一个更难撬的锁。甚至你还可能要反击,安装摄像头,直接记录偷窃者的行踪。或者设置自动报警装置。或者你给居委会提建议,看好小区大门,记录可疑人员的出入。防守的水平就提高了一个档次。这样你不但防住了你家被盗,也帮助了其他家庭,减少被盗的可能。

至于说验证码影响正常会员,这个我已经说得很清楚:验证码不是验证普通帖子的,而是验证攻击者的,验证通不过者要被彻底清理。没有攻击特征的普通会员,不会进入验证页面。只要攻击者符合事先设定的条件和特征,就对他进行验证。条件也随着攻击方式的改变而改变,这条件可以由管理员来设定和改变。即便攻击者是人,验证他的时候,总让他提供手机号,这对他来说也是一件不爽的事情。他无法用同一手机号来验证多个账户,因为系统拒绝他这么做。如果你没有攻击者的特征,系统不会要求你用手机号进行验证,不会询问你的手机号。而对于攻击者(有攻击特征的用户),要求他们不得使用相同的手机号来进行验证。

防守肯定有大量有趣的工作可以做,除非你根本不想做。只要稍微改变一下防守的逻辑,攻击者就很难受的,他就得猜测你的防守逻辑,然后得费劲去破解你,多长时间能破解,也很难说。即使他好不容易破解了,你的防守逻辑马上又变了,他的攻击就又要费劲折腾了。

cg.maniac.china 发表于 2013-6-5 12:32:50

不点 发表于 2013-6-5 11:26 static/image/common/back.gif
攻防是无止境的。道高一尺,魔高一丈。但是,安全总比不安全好。为什么你的门要上锁?既然世界上有小偷, ...

验证手机号确定是个不错的选择,但是如何去分析攻击者的特征这就是个问题了,需要找程序员写代码。

不点 发表于 2013-6-5 15:18:14

本帖最后由 不点 于 2013-6-5 15:27 编辑

cg.maniac.china 发表于 2013-6-5 12:32 static/image/common/back.gif
验证手机号确定是个不错的选择,但是如何去分析攻击者的特征这就是个问题了,需要找程序员写代码。

现在的攻击者,根本都不伪装,直接发垃圾帖子。特征很容易找。垃圾帖子的内容很短,内容全都雷同,比如 “这个帖子太精彩了,不顶不行”。也有的是纯粹的、随便拼凑的垃圾文字,无法理解。不过,共同的特征是,语言文字偏少。

如果编程判断比较困难,还可以动用会员监督的力量。正常的会员看到垃圾帖子,心中肯定不高兴,于是他就可能要举报。如果一个用户被举报的次数很多,程序据此就可以判断这可能是个攻击者,于是就要求它验证。

维护网站本来就需要程序员,不用找,维护者自己就是程序员。如果维护者不能随着攻击的变化而修正自己的程序,如果程序是死的、“一劳永逸” 的,那样根本不行。因为你的程序是死的,但攻击者是不断变化的,那样你的程序就废了,于是攻击者就 “畅通无阻、大行其道、游刃有余、肆意攻击”。




不点 发表于 2013-6-5 17:47:47

本帖最后由 不点 于 2013-6-5 17:55 编辑

俗话说,办法总比问题多。

我还有一个主意。这次不需要论坛程序本身有太多的完善,但需要论坛会员的举报以及版主及时响应举报。

无论是不是机器人,无论是不是正常会员,统统不允许回复 “赞!” “顶!” “好帖!”之类的帖子,广告内容以及广告链接更不允许。凡是与讨论主题关系不大的帖子,都属于违规。这类帖子本身就没有太大价值。只要有人举报,版主就应该删除此类帖子,同时以 10 倍于每发一个帖子得分的罚分扣除发帖者的总分(如果没人举报,那就可以饶恕)。同一个发帖者,第二次犯规,加倍扣分,即,扣 20 倍的罚分。第三次犯规,扣 40 倍的罚分,依此类推,犯规次数越多,扣分的幅度也越大。当会员的总分数为负数时,就要启动验证页面,或者根本不需要验证,直接删除会员帐户。如果版主发现有人胡乱举报,故意捣乱,当然可以直接删除这个故意捣乱的会员帐户。扣分是程序自动进行的,版主只需要删帖便可,这样可以减少版主的劳动量。

a8181811 发表于 2013-6-6 08:06:20

不点 发表于 2013-6-5 11:26 static/image/common/back.gif
攻防是无止境的。道高一尺,魔高一丈。但是,安全总比不安全好。为什么你的门要上锁?既然世界上有小偷 ...

验证码不是验证普通帖子的,而是验证攻击者的没有攻击特征的普通会员,不会进入验证页面。只要攻击者符合事先设定的条件和特征,就对他进行验证。条件也随着攻击方式的改变而改变,这条件可以由管理员来设定和改变。即便攻击者是人,验证他的时候,总让他提供手机号,这对他来说也是一件不爽的事情。他无法用同一手机号来验证多个账户,因为系统拒绝他这么做。如果你没有攻击者的特征,系统不会要求你用手机号进行验证,不会询问你的手机号。而对于攻击者(有攻击特征的用户),要求他们不得使用相同的手机号来进行验证。
DZ本身貌似做不到~不知道是否有插件能够实现你的说法~

不点 发表于 2013-6-6 09:00:20

本帖最后由 不点 于 2013-6-6 10:41 编辑

a8181811 发表于 2013-6-6 08:06 static/image/common/back.gif
DZ本身貌似做不到~不知道是否有插件能够实现你的说法~

攻击者是程序员高手,这些年来,论坛程序不断更改,然而攻击是依旧的。说明攻击一旦失效,攻击者的攻击手段也要变化。这就是高手之间的较量。弱者肯定被打垮,毫无疑问了。如果没有程序员高手,你甭想指望普通的管理手段可以抵挡攻击。世上没有做不到,只有不努力和不去做。

记得我以前说过,那些塞满首页的广告根本不是广告,而是攻击。广告和攻击的差别,管理员可能都没认识清楚。

广告的目的仅仅是广而告之,它怎么会发在论坛讨论区的首页让管理员很快就干掉呢?因此,显然不是广而告之的目的。这就很清楚是攻击了。

还有人举报某个帖子的压缩包中含有广告,我就觉得这是没什么意义的。那样的广告形式,不构成攻击,其性质是不同的。管理员要是不清楚什么是广告,什么是攻击,这样的管理就是一盆浆糊,一团乱麻、一塌糊涂,你就不能判断什么该饶过、该宽恕,而什么必须严打。

后来有大量的 “嗯,啊,顶,好帖” 之类的垃圾,目的是不引起管理员的注意,而把论坛搞瘫痪。看到没有?它改变攻击方法了,它不再用广告了!但攻击的目的没有变。这也从一个侧面说明了,那些塞满首页的广告,根本不是广告,而是攻击。

不点 发表于 2013-6-6 11:01:42

还有一点,稍稍离题远一点。

就是,网站维护者还应该猜测攻击者是谁。是谁长期跟踪攻击你这个网站,难道你猜不到?谷歌难道不知道谁是它的对手?微软不知道谁是它的敌人?的确,要准确猜测攻击者是谁,可能也不容易。但是,长期不间断的攻击,难道丝毫都暴露不出攻击者的身份?

你再想想,是谁攻击了 “中国 DOS 联盟”,让它基本上处于瘫痪和死掉?是谁跟它有这么大的利益冲突?有这么大的仇恨?是谁长期跟踪攻击 grub4dos 的主站 “时空论坛” 以及 grub4dos 的项目空间?

如果知道是谁攻击了,对于防守也是有帮助的。比如你可以半公开地揭穿它,它也害怕。就算你不敢揭穿它,你也知道它的攻击是厉害的,不是一般的攻击,那么你防守的时候,采用的防守手段也就更加强硬和牢固,投入的防守力量和防守资金也就相应地加大。

cg.maniac.china 发表于 2013-6-6 15:12:00

不点 发表于 2013-6-6 11:01 static/image/common/back.gif
还有一点,稍稍离题远一点。

就是,网站维护者还应该猜测攻击者是谁。是谁长期跟踪攻击你这个网站,难道 ...

无忧还有敌人,这个只是个启动论坛吧,而且也没有任何的利益吧,除了论坛上的三个广告就没别的东西了。

不点 发表于 2013-6-6 15:37:18

cg.maniac.china 发表于 2013-6-6 15:12 static/image/common/back.gif
无忧还有敌人,这个只是个启动论坛吧,而且也没有任何的利益吧,除了论坛上的三个广告就没别的东西了。

有敌人不是新鲜事吧?

利益相同者,构成朋友,利益相违者,构成敌人。

世上没有绝对的东西,因此,“没有任何的利益” 也不是绝对的。

利益很可能就在你看不见的地方。你看不见,不等于不存在。

还有这样的可能性,你自己认为没有与谁为敌,但不等于说,别人不把你当成敌人。注意,这可是关键的概念。

比如说,你与某个 PLMM 相好了,或者结婚了,你自己以为你一直是 “与人为善” 的,你没有 “敌人”。殊不知,在你不知道的事情背后,可能有人正在设法拆散你们呢!一句话,你认为你没有敌人,别人不这么认为。

现实生活中还有很多类似的事情。发生在我身边的一个实例:某人自以为很善良,然而他不经意间伤害了太多的人,导致许多人都在背地里说他的坏话。他自己竟然全然不知。他把周围的人全都得罪了,自己竟然毫无察觉,这看起来确实不像是真的,然而令人难以置信的事情,它发生了,这也不足为怪。其他人也会犯类似的错误,但可能没这么严重。

cg.maniac.china 发表于 2013-6-6 17:15:50

不点 发表于 2013-6-6 15:37 static/image/common/back.gif
有敌人不是新鲜事吧?

利益相同者,构成朋友,利益相违者,构成敌人。


不过最近好像没发现有攻击了。

不点 发表于 2013-6-6 17:19:26

cg.maniac.china 发表于 2013-6-6 17:15 static/image/common/back.gif
不过最近好像没发现有攻击了。

好事啊!我们都期望没有攻击了,最好是从此以后都没有攻击了,或者至少没有严重的攻击了。

不过,也许是网站维护者通过某些手段化解了攻击呢?如果这样,那就不等于是没有攻击了。

页: [1] 2
查看完整版本: 综合讨论区出现大量脑残贴