情况:
包含受用户名/密码保护的内容的网站(因为他们可以是试用/测试用户,所以不受控制)
由于用户名/密码限制,普通搜索引擎无法获取
恶意用户仍然可以登录并将会话cookie传递给"wget -r"或其他内容.
问题是什么是监控此类活动并对其进行响应的最佳解决方案(考虑到站点策略不允许爬行/抓取)
我可以想到一些选择:
设置一些流量监控解决方案,以限制给定用户/ IP的请求数量.
与第一点相关:自动阻止某些用户代理
(邪恶:))设置一个隐藏的链接,当访问时注销用户并禁用他的帐户.(据推测,普通用户不会访问它,因为他不会看到它点击它,但机器人会抓取所有链接.)
对于第1点,你知道一个好的已经实现的解决方案吗?有任何经验吗?一个问题是,一些误报可能会出现在非常活跃但人性化的用户身上.
对于第3点:你觉得这真的很邪恶吗?或者你看到它有任何可能的问题吗?
也接受其他建议.
我不建议自动锁定,不是因为它们必然是邪恶的,而是因为它们向恶意用户提供他们绊倒传感器的即时反馈,让他们知道不要对他们签署的下一个帐户做同样的事情起来.
并且用户代理阻止可能不会非常有用,因为显然用户代理很容易伪造.
关于你可以做的最好的事情是监控,但是如果你发现恶意行为,你还是要问你要做什么.只要您有不受控制的访问权限,您锁定的任何人都可以在不同的身份下再次注册.我不知道你需要什么样的信息来获得一个帐户,但只是一个名字和电子邮件地址,例如,是不会有太大的每个人都是一个关卡.
这是典型的DRM问题 - 如果有人能看到这些信息,那么任何人都可以用它做任何他们想做的事情.你可以让它变得困难,但最终如果某人真的有决心,你就无法阻止他们,并且你冒着干扰合法用户和伤害你的业务的风险.
京公网安备 11010802040832号 | 京ICP备19059560号-6 