Хрумна ми, вариант как да се направи така, че за да не се ограничават регистрациите чрез е-мейли, капчи и др.под., но при това да се попречи на недобросъвестните потребители да злоупотребяват с милиони фейк акаунти.
Едно от възможните решения е PoW. При активацията на акаунта, изпращам на потребителя някакъв хеш, а той трябва да ми върне оригинала, за да получи активация на акаунта.
Брутфорса на хеша ще се прави на JS на страницата за активация на акаунта. (впрочем, за да запазя възможността на форума да работи без JS може да има връзка за сваляне на програма, която да прави сметките извън уеб.
По идея, брутфорса трябва да отнема горе-долу 5..10 минути на съвременен бърз компютър. Но това ще се задава в настройките на форума.
Мисли, идеи, забележки?
По-големият проблем е този с вдигането на старите теми, които след това не падат ако се изтрият новите мнения. Със тия настройки дето ги имаме и дето ги мислиш ми стига да регистрирам само един нов усер и след това за 2 часа през нощта мога да вдигна 30 теми.
Точно това не е проблем – решението е просто и почти съм го написал. Даже може да се разглежда като бъгфикс – правилно обновяване на времето на последната промяна на темата при изтриване на постове от нея.
Внимавай какво хеширане ще туриш, тъй като тия биткойновите ASIC ще смачкат хеша за нула време. Може да си наемеш, без да купуваш.
Решението е просто, да, но Делегатов беше споменал че ти е казвал за проблема и аз останах с впечатлението че не щеш да го оправяш по идеолгически причини :) По-просто решение е да се заключват теми по-стари от Х дни за нови усери. Така няма нужда някой да варди и да трие.
Но дори и всичко да работи както си го намислил се решава проблемът с масовия вандализъм но остава мини-вандализмът - дори и с малко усери пак може да се спами дразнещо с нови теми и постове. Без активно модераторство е трудно да се отвори форума за нови усери. В идеалния случай ще има някакво карантиниране на нови усери - примерно 1-2 дни могат да пишат само в отделна тема и същевременно на старите усери ни се дава възможност лесно да трием много нови акаунти наведнъж.
Напълно е възможно да съм забравил или да е било за нещо друго. Или на не съм разбрал за какво става въпрос...
Не виждам някаква идеология в този проблем.
Е, аз съм забелязал, че (поне тука) вандалите или искат да цапат на едро или не се занимават въобще. Така че, нека да решаваме проблемите един по един.
Отворен съм за много по-конкретни предложения.
Извинявай, но това ми звучи абсурдно. Proof of work, копачки, сваляне на ехе-та.
Иначе, как му изпращаш хеша на новия кандиат-потребител ? В страницата за регситрация ?
Това му се вика math captcha, Джони, но определено мислиш иновативно
Реба Създадено на 02.01.2023, видяно: 634 пъти. #83385
кскво не и харесвате на нормалната капча?
Абе харесват я, споко, просто не искат да се казва така. С приложението което се сваля пък правят и първа крачка към 2fa, само че това не е онова 2fa, а нещо съвсем ново и иновативно
В смисъл? Кое точно ти звучи абсурдно???
В момента регистрацията работи така (опростено):
1. Регистрира се някой. Данните му попадат в таблицата WaitingActivation.
2. Сървърът генерира случаен стринг, който се изпраща на потребителя по е-мейл. Този стринг трябва да се подаде към сървъра за да се активира акаунта.
3. Ако е-мейл активацията е изключена, то юзърът се редиректва към страницата за активация с готов активационен стринг в URL-то. Механизмът на активация винаги изисква таен стринг.
Това което аз предлагам е, вместо активационният стринг, да се изпраща премерно SHA-256 хешът му.
Кандидат потребителят ще трябва да си изчисли активационният стринг сам, чрез бруфорс и да го изпрати на сървъра, за да му се активира акаунта. Ако дължината на активационния стринг е правилно пресметната, то това ще му отнеме известно крайно време и натоварване на компютъра.
Което пък означава, че ако иска да регистрира хиляди потребители, това ще му коства хиляди пъти повече време и натоварване на компютъра.
Какво точно не е правилно в разсъжденията ми?
Да, ок, но откога регистрацията тук изисква мейл ?
Тук е изключена от опциите. Но си се поддържа от енджина.
Пак не си чел, гледай Джонката какво е писал "Хрумна ми, вариант как да се направи така, че за да не се ограничават регистрациите чрез е-мейли" и малко след това "Сървърът генерира случаен стринг, който се изпраща на потребителя по е-мейл", т.е. регистрацията реално не изисква мейл освен за да ти прати случаен стринг, толкова е просто
Реба Създадено на 02.01.2023, видяно: 619 пъти. #83391
фрапиращо е обаче че фен на асм предлага защита със задача която йс решава за 5-10 мин. щом йс се оправя за 5 мин, за колко ли ще се оправи асемблер? аз не виждам проблем да нафлудя форума ако успявам да регна по един потребител на мин. докато нормална капча гаранция тук присъстващите не могат да разбият
Аре не давай идеи че ще сложи Джонката някоя логическа капча с въпрос от асемблер и я се регне успешно някой я не