本帖最后由 Abraham511 于 2018-10-30 14:44 编辑
之前在茶馆发过一篇帖子,题目是“关于论坛只认账号不认人现状的看法”
就看最后是用链接验证还是验证码验证了
来自群组: Abraham
① 前言:
这是我在反馈版退房前的最后7个内容的笔记
正如大家所言,赖在这个板块确实可能不太好...
那我反馈完现在笔记里这最后7个Bug/建议以后...
就应该暂时离开反馈版一段时间吧...
如图所见,这个是我倒数第二个【每日反馈】了
不过还有四个重要反馈未被处理的(按重要程度排序)
http://www.mcbbs.net/thread-825145-1-2.html
http://www.mcbbs.net/thread-825861-1-1.html
http://www.mcbbs.net/thread-825290-1-2.html
http://www.mcbbs.net/thread-823577-1-4.html
希望管理员能够看到,不会落下~
接下来是正文
② 正文:
之前在茶馆发过一篇帖子,题目是“关于论坛只认账号不认人现状的看法”
听坛友说,帖子里的例子可能举得不太好
但是其实想表达的就是
在论坛考古的时候,发现了一些
因为账号被盗后,被广告机用来宣传违规内容,导致最后账号被封禁的情况
而且很多都是那种高等级的账号
③ 换位思考——自己:
热爱换位思考的我不禁想到:
如果我这个整整用了两个月每天16小时在线,才从3级辛辛苦苦升到8级的号,被盗导致封禁。
不但会暴跳如雷、欲哭无泪,肯定还会说论坛管理不近人情。
④ 换位思考——论坛:
但是从论坛角度讲,只认账号不认人是有理可以说得通的~
因为网络的虚拟性,论坛方面确实无法判断在违规使用账号期间是否是由本人操作
而且肯定有过且不止一个号主在自己违规操作后
佯称自己被盗号,然后期望利用这一借口免除处罚
所以本着错杀一千不放过一个,才不得不使出只认账号不认人的下下策
⑤ 小概率假设:
虽然论坛有在公告每日强调:“请设置安全提问”
但是肯定会有一些新人没有注意到,从而未设置密保问题
而且...虽然有极小几率,但是也不是不可能,出现以下情况
①:用户的账号密码和密保被好友猜到后被盗用
②:在服务器设置了相同密码后被有心之人盗用
③:密保答案过于简单以至于被爆破
......
⑥ 不完善的现象:
而且,即使设置了密保提问,该验证系统也是存在于论坛自身之上
比如说公告写道
后台有大量账号被爆破的记录
但是该被爆破账号的用户却不知道自己的账号正在被爆破
从而无法及时的做出防御措施,比如说——换密码、换密保
⑦ 解决方案的提出:
所以我之前一直在想如何避免/完善这个现象/漏洞
之前考虑过“Google 令牌、手机短信验证、绑定QQ验证”
但是API恨不得不是那么好写,更不是那么好实现
提出一个好的设想的同时,可实施度也是很重要的
我思考了很久……直到……
我注册了@Abraham_511 这个小号,收到了那封验证邮件
⑧ 邮箱验证:
从账号注册会受到验证邮件不难看出,论坛本身是有邮件验证的API的
所以这个大大增加了这个设想的可实施度
那么...设想如下
------
邮件验证默认为开启
在每次登陆的时候除了要过极验人机验证和密保问题以外
论坛自动向该账号绑定的邮箱发送一个邮件
大致拟定为
您已正确输入了密码和密保答案准备登陆Mcbbs.net。
请勿出售/外借账号
一旦您点击了下方链接,论坛方即认定为此次登陆为您本人操作。
账号发布的一切内容均为您承担所有责任。
如果您并未登录账号,说明您的账号已被不法分子爆破,请立刻更改密码及密保问题。
如果您还有什么疑问,可以联系管理员。
Minecraft(我的世界)中文论坛
YY.MM.DD HH.MM
或者
您已正确输入了密码和密保答案准备登陆Mcbbs.net。
请勿出售/外借账号
一旦您输入了下方验证码,论坛方即认定为此次登陆为您本人操作。
账号发布的一切内容均为您承担所有责任。
验证码:Just-2333-6666-Test
如果您并未登录账号,说明您的账号已被不法分子爆破,请立刻更改密码及密保问题。
如果您还有什么疑问,可以联系管理员。
Minecraft(我的世界)中文论坛
YY.MM.DD HH.MM
就看最后是用链接验证还是验证码验证了
⑨ 总结:
可能有人好奇:你这个不是多此一举嘛?
其实个人认为:不然
首先,正如第⑥部分所讲,很多账号被盗之前都不知道自己被盗号了
邮箱验证这个方法可以保证将该情况第一时间通知给号主,从而第一时间保证账号安全
其次一些大的邮箱都自带登陆验证
比如说QQ、百度、新浪、谷歌等
虽然论坛本身暂时做不到这么高端的验证方式
但是可以“借用”这些邮箱的验证嘛~
我不相信有盗号机能在破解MCBBS账号的同时
也能破解了QQ的安全中心验证、百度的手机验证、新浪的微博验证和谷歌的令牌验证
而且呢~
在邮箱验证添加以后,可以完全断绝那些有心之人自己贼喊捉贼的借口
不会再有人以“我被盗号了”作为借口申请解封
同时,正如我拟定的验证邮件所写
验证邮件可以再次提醒论坛用户不要外借账号
从而让那些本来是想外借账号的用户悬崖勒马
也就会大大减少前两天“timecb7(UID: 2332194)盗窃他人成果未经授权发布”这类事情的发生
综上所述,添加邮箱验证是一个百利而无一害的决策,何乐而不为呢~
⑩ 后话:
正如工作一辈子临近退休的人一样,开始对退休后的生活渐渐入迷茫
看着马上就要离开反馈版了
但是我仍然想继续为论坛的发展做点什么
去版主申请版块看了几天了
好像还是没有空闲需要人手的版块
不知道有没有好心人帮我指条路呢~感谢~
PS:
文章总耗时:2h 37min
感谢大家一直以来的支持与陪伴
来自群组: Abraham
没有什么可以挑剔的……
不过话说回来某当年注册用的邮箱我自己现在连密码都忘了……
不过话说回来某当年注册用的邮箱我自己现在连密码都忘了……
每登录一次发一封邮件 你想过论坛服务器的压力吗 利用类似手机令牌的解决方式才是最好的(这玩意应该有开源的把 )
HTL9257 发表于 2018-10-31 16:17
每登录一次发一封邮件 你想过论坛服务器的压力吗 利用类似手机令牌的解决方式才是最好的(这玩意应该有开 ...
类似手机令牌
谷歌手机令牌有API
不过我不确定MCBBS支不支持....
如果每次登陆都强制使用这种验证,未免太不方便了。有什么大的平台有过这种先例吗?
二楼的观点也有道理。
至于申请版主这件事,有这个心是好的。但是有心无力是不行的,如果只是处理违规大多数人都有这个能力。你觉得自己在什么领域有专长呢?FHC红石曾在暑假表示“谁说问答版人手充足的?”。根据以往的经验,john是不怎么管问答版的事务的,所以相当于只有三个版主。
二楼的观点也有道理。
至于申请版主这件事,有这个心是好的。但是有心无力是不行的,如果只是处理违规大多数人都有这个能力。你觉得自己在什么领域有专长呢?FHC红石曾在暑假表示“谁说问答版人手充足的?”。根据以往的经验,john是不怎么管问答版的事务的,所以相当于只有三个版主。
west.myth 发表于 2018-10-31 16:56
如果每次登陆都强制使用这种验证,未免太不方便了。有什么大的平台有过这种先例吗?
二楼的 ...
每次登陆都强制使用这种验证
这样的...如果长期在自己的电脑上使用,选择自动登陆即可,只是在退出登录/异地登陆以后,才会采取邮箱验证
所以不会很麻烦...其次在第八部分说明了:默认开启,用户可以自主关闭
关于大平台...百度用的是手机短信验证,新浪用的是微博验证,也都是这种默认开启,用户可以自主关闭的 ~
这个感觉很麻烦把 我都懒得点 手机登陆更麻烦 不建议!
a1477059273 发表于 2018-10-31 17:12
这个感觉很麻烦把 我都懒得点 手机登陆更麻烦 不建议!
见第八部分:默认开启,用户可以自主关闭
如果用户觉得麻烦,可以关闭,但是要自担风险
Abraham511 发表于 2018-10-31 17:15
见第八部分:默认开启,用户可以自主关闭
如果用户觉得麻烦,可以关闭,但是要自担风险 ...
管理员:键盘鼠标服务器 都拿走 你来改 满意不 (哈哈哈XD)
Abraham511 发表于 2018-10-31 16:56
这样的...如果长期在自己的电脑上使用,选择自动登陆即可,只是在退出登录/异地登陆以后,才会采取邮 ...
说实话,你这么折腾,建立手机验证机制比这还简单...
zyjking 发表于 2018-10-31 18:41
说实话,你这么折腾,建立手机验证机制比这还简单...
但是API实现起来难啊....用户虽然方便,但是论坛实现不了啊....
我觉得...太麻烦
可以考虑连续10次输错密码冻结账号并通过邮件里的链接解冻
可以考虑连续10次输错密码冻结账号并通过邮件里的链接解冻
ColorPencil 发表于 2018-10-31 21:43
我觉得...太麻烦
可以考虑连续10次输错密码冻结账号并通过邮件里的链接解冻 ...
这个肯定不行
输错密码太简单
解冻账号太麻烦
意思就是会有人专门想要输错别人密码来让对方始终处于难以登陆状态
应该加一条判断 很久没登录or异地登录时 才验证