关于论坛的anti-spam机制
一直以来都觉得论坛的spam对策基本上效果不大,今天终于闲来无事试了一下,果然发现存在一些问题。现行的anti-spam机制(个人测试,不一定对):
1、新用户注册600分钟内禁止发言
2、禁止同一IP短时间连续注册
3、关键词屏蔽(以前有,现在也大概有)
4、禁言、禁止访问(事后措施)
5、注册时的问答验证
现行机制存在的问题:
1、2 对SPAM软件来说没有影响。
3、容易误伤一般网友
4、主要依靠事后举报人工处理,夜间时段无人值守易被攻破。
其他:
※Discuz系统自身存在的漏洞等问题,且现在官方维护频率远不如前。
5、注册阶段存在的问题
i)论坛注册有E-mail一项,但如下图所示,输入任意的[email protected]形字符即可通过,且无邮箱验证要求。
ii)
如上图所示,有针对SPAM软件恶意注册设置的验证问答,但验证问答仅有一问并可简单绕过(新站注册)
至于新站的注册,则更为简单。
a.
如上图所示,与论坛同样,只要在邮箱一栏输入[email protected]形式的字符即可通过,且无邮箱验证要求
b.
如图所示,任何人都能轻松辨识的英文字符,对于OCR软件来说更是不在话下
网站安全相关:https与http混在,存在安全性问题。
建议:
I 新站和论坛都引入邮箱验证,不通过邮箱验证不允许发言。
II 多设置几个验证问答,随机出题;禁止采用通过新站注册等方式绕过验证问答。(这种问题答不出来的人说实在也没有必要注册百合会)
III 增强新站注册验证码难度,加大OCR识读的难度。
IV 增强网站安全性
暂时想到这些,不是太了解discuz的动作机制,有什么不对的地方欢迎批评指正
……感谢指出问题,论坛邮箱没有验证似乎主要是之前服务器接收问题,一旦开启验证,就有很多人收不到邮件……所以迟迟没有敢开启!如果你有这个方面的处理经验,可以私信联系我,我们会予以配合!
页:
[1]