我目前正在开发一个我周末粗暴的聊天/论坛网站,它有匿名条目(即:没有用户名或密码).对于垃圾邮件发送者而言,这似乎很容易破坏,但我不想打扰用户使用验证码或类似的反垃圾邮件输入.
这些用户是否有任何隐形的替代品?谢谢你的帮助.
关于垃圾邮件发送者你应该知道的一件事是他们总是选择低调的果实.与黑客一样.我的意思是他们会选择最容易击中影响大多数用户的目标.这就是为什么PHP和Windows漏洞经常被利用的原因:它们影响了很多用户,如果你发现这样的弱点/攻击,你的目标"市场"是巨大的.
这也是为什么Linux和Mac操作系统仍然影响相对较小病毒例如很大一部分原因:目标市场是很多比Windows更小.现在我并没有将Windows与Mac/Linux的安全性和稳健性等同起来,但即使后两者的安全模型要好得多,对前者的攻击次数仍然与其存在的不足之处不成比例.
我这样说是因为避免这类问题的最佳方法之一就是不使用流行的软件.例如,phpBB已经针对它进行了大量攻击,因为它非常受欢迎.
因此,通过自己的聊天/论坛系统,你处于劣势,因为你的系统没有现场测试的流行功能,但你也有一个优势,因为它不值得大多数垃圾邮件发送者的时间来利用它.因此,您需要注意的是自动化系统可以对您做什么.网站上的联系表格往往具有可识别的标记(如姓名,电子邮件和评论字段).
所以我建议:
忽略将表单发送给用户5到10秒内的响应;
使用蜜罐(CSS/JS隐藏字段,如别处所述);
使用适用的Javascript来呈现,重新排序或显示表单;
使用不可预测的表单字段名称; 和
通过IP阻止不良响应.
不是防弹解决方案,但你可以有一些隐藏的输入字段.如果没有留空,你就抓住了机器人.机器人倾向于填充所有输入字段,而用户肯定会留下他们看不到空的字段.
京公网安备 11010802040832号 | 京ICP备19059560号-6 