关于论坛的anti-spam机制

Kyokou

一直以来都觉得论坛的spam对策基本上效果不大，今天终于闲来无事试了一下，果然发现存在一些问题。

现行的anti-spam机制（个人测试，不一定对）：
1、新用户注册600分钟内禁止发言
2、禁止同一IP短时间连续注册
3、关键词屏蔽（以前有，现在也大概有）
4、禁言、禁止访问（事后措施）
5、注册时的问答验证

现行机制存在的问题：
1、2 对SPAM软件来说没有影响。

3、容易误伤一般网友
4、主要依靠事后举报人工处理，夜间时段无人值守易被攻破。
其他：

※Discuz系统自身存在的漏洞等问题，且现在官方维护频率远不如前。
5、注册阶段存在的问题

i)论坛注册有E-mail一项，但如下图所示，输入任意的[email protected]形字符即可通过，且无邮箱验证要求。


ii)
如上图所示，有针对SPAM软件恶意注册设置的验证问答，但验证问答仅有一问并可简单绕过（新站注册）
至于新站的注册，则更为简单。
a.
如上图所示，与论坛同样，只要在邮箱一栏输入[email protected]形式的字符即可通过，且无邮箱验证要求
b.
如图所示，任何人都能轻松辨识的英文字符，对于OCR软件来说更是不在话下


网站安全相关：https与http混在，存在安全性问题。


建议：
I 新站和论坛都引入邮箱验证，不通过邮箱验证不允许发言。
II 多设置几个验证问答，随机出题；禁止采用通过新站注册等方式绕过验证问答。（这种问题答不出来的人说实在也没有必要注册百合会）
III 增强新站注册验证码难度，加大OCR识读的难度。
IV 增强网站安全性


暂时想到这些，不是太了解discuz的动作机制，有什么不对的地方欢迎批评指正

筱林透

……感谢指出问题，论坛邮箱没有验证似乎主要是之前服务器接收问题，一旦开启验证，就有很多人收不到邮件……所以迟迟没有敢开启！如果你有这个方面的处理经验，可以私信联系我，我们会予以配合！