Abraham511
本帖最后由 Abraham511 于 2018-10-30 14:44 编辑


前言:




这是我在反馈版退房前的最后7个内容的笔记


正如大家所言,在这个板块确实可能不太好...


那我反馈完现在笔记里这最后7个Bug/建议以后...


就应该暂时离开反馈版一段时间吧...


如图所见,这个是我倒数第二个【每日反馈】了


不过还有四个重要反馈未被处理的(按重要程度排序)


http://www.mcbbs.net/thread-825145-1-2.html

http://www.mcbbs.net/thread-825861-1-1.html

http://www.mcbbs.net/thread-825290-1-2.html

http://www.mcbbs.net/thread-823577-1-4.html


希望管理员能够看到,不会落下~


接下来是正文





② 正文:



之前在茶馆发过一篇帖子,题目是“关于论坛只认账号不认人现状的看法


听坛友说,帖子里的例子可能举得不太好


但是其实想表达的就是


在论坛考古的时候,发现了一些


因为账号被盗后,被广告机用来宣传违规内容,导致最后账号被封禁的情况


而且很多都是那种高等级的账号




③ 换位思考——自己:


热爱换位思考的我不禁想到:


如果我这个整整用了两个月每天16小时在线,才从3级辛辛苦苦升到8级的号,被盗导致封禁


不但会暴跳如雷欲哭无泪,肯定还会说论坛管理不近人情




④ 换位思考——论坛:



但是从论坛角度讲,只认账号不认人是有理可以说得通的~


因为网络虚拟性论坛方面确实无法判断违规使用账号期间是否是由本人操作





而且肯定有过不止一个号主在自己违规操作



佯称自己被盗号,然后期望利用这一借口免除处罚



所以本着错杀一千不放过一个,才不得不使出只认账号不认人的下下策






⑤ 小概率假设:




虽然论坛有在公告每日强调:“请设置安全提问



但是肯定会有一些新人没有注意到,从而未设置密保问题



而且...虽然有极小几率,但是也不是不可能,出现以下情况



①:用户的账号密码和密保被好友猜到后被盗用



②:在服务器设置了相同密码后被有心之人盗用



③:密保答案过于简单以至于被爆破



......







⑥ 不完善的现象:



而且,即使设置了密保提问,该验证系统也是存在于论坛自身之上


比如说公告写道


后台有大量账号被爆破的记录


但是该被爆破账号的用户不知道自己的账号正在被爆破


从而无法及时的做出防御措施,比如说——换密码换密保




⑦ 解决方案的提出:


所以我之前一直在想如何避免/完善这个现象/漏洞


之前考虑过“Google 令牌、手机短信验证、绑定QQ验证”


但是API恨不得不是那么好写,更不是那么好实现


提出一个好的设想的同时,可实施度也是很重要


我思考了很久……直到……


注册@Abraham_511 这个小号收到了那封验证邮件




⑧ 邮箱验证:


账号注册受到验证邮件不难看出,论坛本身是有邮件验证API


所以这个大大增加了这个设想可实施度


那么...设想如下


------


邮件验证默认为开启


在每次登陆的时候除了要过极验人机验证密保问题以外


论坛自动向该账号绑定邮箱发送一个邮件


大致拟定为


您已正确输入了密码和密保答案准备登陆Mcbbs.net。



请勿出售/外借账号



一旦您点击了下方链接,论坛方即认定为此次登陆为您本人操作。



账号发布的一切内容均为您承担所有责任。



验证链接:http://www.mcbbs.net/just-test.html



如果您并未登录账号,说明您的账号已被不法分子爆破,请立刻更改密码及密保问题。



如果您还有什么疑问,可以联系管理员。



Minecraft(我的世界)中文论坛



YY.MM.DD  HH.MM

或者


您已正确输入了密码和密保答案准备登陆Mcbbs.net。

请勿出售/外借账号

一旦您输入了下方验证码,论坛方即认定为此次登陆为您本人操作。

账号发布的一切内容均为您承担所有责任。

验证码:Just-2333-6666-Test

如果您并未登录账号,说明您的账号已被不法分子爆破,请立刻更改密码及密保问题。

如果您还有什么疑问,可以联系管理员。

Minecraft(我的世界)中文论坛

YY.MM.DD  HH.MM


就看最后是用链接验证还是验证码验证了





⑨ 总结:



可能有人好奇:你这个不是多此一举嘛?


其实个人认为:不然


首先,正如第部分所讲,很多账号被盗之前都不知道自己被盗号了


邮箱验证这个方法可以保证将该情况第一时间通知给号主,从而第一时间保证账号安全


其次一些大的邮箱自带登陆验证


比如说QQ、百度、新浪、谷歌等


虽然论坛本身暂时做不到这么高端的验证方式


但是可以“借用”这些邮箱的验证嘛~


我不相信有盗号机能在破解MCBBS账号的同时


也能破解了QQ的安全中心验证、百度的手机验证、新浪的微博验证和谷歌的令牌验证


而且呢~


在邮箱验证添加以后,可以完全断绝那些有心之人自己贼喊捉贼的借口


不会再有人以“我被盗号了”作为借口申请解封


同时,正如我拟定的验证邮件所写


验证邮件可以再次提醒论坛用户不要外借账号


从而让那些本来是想外借账号的用户悬崖勒马


也就会大大减少前两天“timecb7(UID: 2332194)盗窃他人成果未经授权发布”这类事情的发生




综上所述,添加邮箱验证一个百利而无一害的决策,何乐而不为呢~



⑩ 后话:


正如工作一辈子临近退休的人一样,开始对退休后的生活渐渐入迷茫



看着马上就要离开反馈版了



但是我仍然想继续为论坛的发展做点什么



去版主申请版块看了几天了



好像还是没有空闲需要人手的版块



不知道有没有好心人帮我指条路呢~感谢~





PS:


文章总耗时:2h 37min




感谢大家一直以来的支持与陪伴


来自群组: Abraham
囗il
没有什么可以挑剔的……
不过话说回来某当年注册用的邮箱我自己现在连密码都忘了……
每登录一次发一封邮件 你想过论坛服务器的压力吗   利用类似手机令牌的解决方式才是最好的(这玩意应该有开源的把 )
Abraham511
HTL9257 发表于 2018-10-31 16:17
每登录一次发一封邮件 你想过论坛服务器的压力吗   利用类似手机令牌的解决方式才是最好的(这玩意应该有开 ...
类似手机令牌


谷歌手机令牌有API

不过我不确定MCBBS支不支持....

west.myth
       如果每次登陆都强制使用这种验证,未免太不方便了。有什么大的平台有过这种先例吗?
       二楼的观点也有道理。
      至于申请版主这件事,有这个心是好的。但是有心无力是不行的,如果只是处理违规大多数人都有这个能力。你觉得自己在什么领域有专长呢?FHC红石曾在暑假表示“谁说问答版人手充足的?”。根据以往的经验,john是不怎么管问答版的事务的,所以相当于只有三个版主。
Abraham511
west.myth 发表于 2018-10-31 16:56
如果每次登陆都强制使用这种验证,未免太不方便了。有什么大的平台有过这种先例吗?
       二楼的 ...


每次登陆都强制使用这种验证


这样的...如果长期在自己的电脑上使用,选择自动登陆即可,只是在退出登录/异地登陆以后,才会采取邮箱验证
所以不会很麻烦...其次在第八部分说明了:默认开启,用户可以自主关闭
关于大平台...百度用的是手机短信验证,新浪用的是微博验证,也都是这种默认开启,用户可以自主关闭的 ~


Flowers_花花
这个感觉很麻烦把 我都懒得点  手机登陆更麻烦 不建议!
Abraham511
a1477059273 发表于 2018-10-31 17:12
这个感觉很麻烦把 我都懒得点  手机登陆更麻烦 不建议!

见第八部分:默认开启,用户可以自主关闭

如果用户觉得麻烦,可以关闭,但是要自担风险
Flowers_花花
Abraham511 发表于 2018-10-31 17:15
见第八部分:默认开启,用户可以自主关闭

如果用户觉得麻烦,可以关闭,但是要自担风险 ...

管理员:键盘鼠标服务器 都拿走 你来改 满意不  (哈哈哈XD)
zyjking
Abraham511 发表于 2018-10-31 16:56
这样的...如果长期在自己的电脑上使用,选择自动登陆即可,只是在退出登录/异地登陆以后,才会采取邮 ...

说实话,你这么折腾,建立手机验证机制比这还简单...
Abraham511
zyjking 发表于 2018-10-31 18:41
说实话,你这么折腾,建立手机验证机制比这还简单...

但是API实现起来难啊....用户虽然方便,但是论坛实现不了啊....
ColorPencil
我觉得...太麻烦
可以考虑连续10次输错密码冻结账号并通过邮件里的链接解冻
Belanga
ColorPencil 发表于 2018-10-31 21:43
我觉得...太麻烦
可以考虑连续10次输错密码冻结账号并通过邮件里的链接解冻 ...

这个肯定不行
输错密码太简单
解冻账号太麻烦

意思就是会有人专门想要输错别人密码来让对方始终处于难以登陆状态
502mc
应该加一条判断 很久没登录or异地登录时 才验证
Abraham511
502mc 发表于 2018-11-1 21:48
应该加一条判断 很久没登录or异地登录时 才验证

想法好,难实现
cc7w
支持。
会在一定程度上减小账号被盗的几率。
RSN_GK
只是在退出登录/异地登陆以后,才会采取邮箱验证
就这点我很支持,这样可以大规模的减少由于密保设置过于简易或未设置密保的账户被盗号,但是异地登陆采取邮箱验证这点...别忘了有的人每次登陆都是不一样的地点(例如我这个动态IP的)
其次在第八部分说明了:默认开启,用户可以自主关闭
这点的话其实...如果想自主关闭的话其实需要多设置一套系统来验证是否为本人设置来选择能否自主关闭,依旧是大幅度减少账号借出导致的账号被盗
总之,很支持这个想法,对于打击盗号团队有很大的帮助
Abraham511
RSN_GK 发表于 2018-11-5 09:55
就这点我很支持,这样可以大规模的减少由于密保设置过于简易或未设置密保的账户被盗号,但是异地登陆采取邮 ...
如果想自主关闭的话其实需要多设置一套系统来验证是否为本人设置来选择能否自主关闭


既然登陆上账号了,那么选择关闭的当然是本人....
RSN_GK
Abraham511 发表于 2018-11-5 17:23
既然登陆上账号了,那么选择关闭的当然是本人....
选择关闭的当然是本人

这点的话如果你把号借给别人我之前说的就可以完全避免借号会导致账号被盗这个问题
1139365029
支持,很多用户的密码、安全提问什么的,各个平台都是一样的,
基本上盗号者在别的平台拿到的密码,换个平台依旧能登陆成功。

不过每次登陆都验证确实过于频繁,应该只有异地登陆的时候才需要验证,并且可以自行关闭。

Abraham511
RSN_GK 发表于 2018-11-6 09:20
这点的话如果你把号借给别人我之前说的就可以完全避免借号会导致账号被盗这个问题 ...
你把号借给别人


文章内说明了借号风险自担