<bgdev />free
Вход Регистрация

Проблема фейк юзърите – възможно решение
0

Теми Отговор
0 1 2 3 4 5 6 7 8
#83372 (ツ) johnfound
Създадено на 02.01.2023, видяно: 358 пъти.

Хрумна ми, вариант как да се направи така, че за да не се ограничават регистрациите чрез е-мейли, капчи и др.под., но при това да се попречи на недобросъвестните потребители да злоупотребяват с милиони фейк акаунти.

Едно от възможните решения е PoW. При активацията на акаунта, изпращам на потребителя някакъв хеш, а той трябва да ми върне оригинала, за да получи активация на акаунта.

Брутфорса на хеша ще се прави на JS на страницата за активация на акаунта. (впрочем, за да запазя възможността на форума да работи без JS може да има връзка за сваляне на програма, която да прави сметките извън уеб.

По идея, брутфорса трябва да отнема горе-долу 5..10 минути на съвременен бърз компютър. Но това ще се задава в настройките на форума.

Мисли, идеи, забележки?

#83374 (ツ) Major Obvious
Създадено на 02.01.2023, видяно: 354 пъти.

По-големият проблем е този с вдигането на старите теми, които след това не падат ако се изтрият новите мнения. Със тия настройки дето ги имаме и дето ги мислиш ми стига да регистрирам само един нов усер и след това за 2 часа през нощта мога да вдигна 30 теми.

#83375 (ツ) johnfound
Създадено на 02.01.2023, видяно: 353 пъти.
Major Obvious

По-големият проблем е този с вдигането на старите теми, които след това не падат ако се изтрият новите мнения. Със тия настройки дето ги имаме и дето ги мислиш ми стига да регистрирам само един нов усер и след това за 2 часа през нощта мога да вдигна 30 теми.

Точно това не е проблем – решението е просто и почти съм го написал. Даже може да се разглежда като бъгфикс – правилно обновяване на времето на последната промяна на темата при изтриване на постове от нея.

#83376 (ツ) Rabin
Последно редактирано на 02.01.2023 от Rabin, видяно: 350 пъти.

Внимавай какво хеширане ще туриш, тъй като тия биткойновите ASIC ще смачкат хеша за нула време. Може да си наемеш, без да купуваш.

#83378 (ツ) Major Obvious
Създадено на 02.01.2023, видяно: 344 пъти.
johnfound

Точно това не е проблем – решението е просто и почти съм го написал. Даже може да се разглежда като бъгфикс – правилно обновяване на времето на последната промяна на темата при изтриване на постове от нея.

Решението е просто, да, но Делегатов беше споменал че ти е казвал за проблема и аз останах с впечатлението че не щеш да го оправяш по идеолгически причини :) По-просто решение е да се заключват теми по-стари от Х дни за нови усери. Така няма нужда някой да варди и да трие.

Но дори и всичко да работи както си го намислил се решава проблемът с масовия вандализъм но остава мини-вандализмът - дори и с малко усери пак може да се спами дразнещо с нови теми и постове. Без активно модераторство е трудно да се отвори форума за нови усери. В идеалния случай ще има някакво карантиниране на нови усери - примерно 1-2 дни могат да пишат само в отделна тема и същевременно на старите усери ни се дава възможност лесно да трием много нови акаунти наведнъж.

#83380 (ツ) johnfound
Създадено на 02.01.2023, видяно: 340 пъти.
Major Obvious

Решението е просто, да, но Делегатов беше споменал че ти е казвал за проблема и аз останах с впечатлението че не щеш да го оправяш по идеолгически причини :) По-просто решение е да се заключват теми по-стари от Х дни за нови усери. Така няма нужда някой да варди и да трие.

Напълно е възможно да съм забравил или да е било за нещо друго. Или на не съм разбрал за какво става въпрос... ;-)

Не виждам някаква идеология в този проблем.

Major Obvious

Но дори и всичко да работи както си го намислил се решава проблемът с масовия вандализъм но остава мини-вандализмът - дори и с малко усери пак може да се спами дразнещо с нови теми и постове. Без активно модераторство е трудно да се отвори форума за нови усери. В идеалния случай ще има някакво карантиниране на нови усери - примерно 1-2 дни могат да пишат само в отделна тема и същевременно на старите усери ни се дава възможност лесно да трием много нови акаунти наведнъж.

Е, аз съм забелязал, че (поне тука) вандалите или искат да цапат на едро или не се занимават въобще. Така че, нека да решаваме проблемите един по един.

#83381 (ツ) johnfound
Създадено на 02.01.2023, видяно: 338 пъти.
Rabin

Внимавай какво хеширане ще туриш, тъй като тия биткойновите ASIC ще смачкат хеша за нула време. Може да си наемеш, без да купуваш.

Отворен съм за много по-конкретни предложения.

#83383 (ツ) Delegate
Последно редактирано на 02.01.2023 от Delegate, видяно: 334 пъти.
johnfound

Хрумна ми, вариант как да се направи така, че за да не се ограничават регистрациите чрез е-мейли, капчи и др.под., но при това да се попречи на недобросъвестните потребители да злоупотребяват с милиони фейк акаунти.

Едно от възможните решения е PoW. При активацията на акаунта, изпращам на потребителя някакъв хеш, а той трябва да ми върне оригинала, за да получи активация на акаунта.

Брутфорса на хеша ще се прави на JS на страницата за активация на акаунта. (впрочем, за да запазя възможността на форума да работи без JS може да има връзка за сваляне на програма, която да прави сметките извън уеб.

По идея, брутфорса трябва да отнема горе-долу 5..10 минути на съвременен бърз компютър. Но това ще се задава в настройките на форума.

Мисли, идеи, забележки?

Извинявай, но това ми звучи абсурдно. Proof of work, копачки, сваляне на ехе-та.

Иначе, как му изпращаш хеша на новия кандиат-потребител ? В страницата за регситрация ?

#83384 (ツ) Golden Gega
Създадено на 02.01.2023, видяно: 333 пъти.
johnfound

Хрумна ми, вариант как да се направи така, че за да не се ограничават регистрациите чрез е-мейли, капчи и др.под., но при това да се попречи на недобросъвестните потребители да злоупотребяват с милиони фейк акаунти.

Едно от възможните решения е PoW. При активацията на акаунта, изпращам на потребителя някакъв хеш, а той трябва да ми върне оригинала, за да получи активация на акаунта.

Брутфорса на хеша ще се прави на JS на страницата за активация на акаунта. (впрочем, за да запазя възможността на форума да работи без JS може да има връзка за сваляне на програма, която да прави сметките извън уеб.

По идея, брутфорса трябва да отнема горе-долу 5..10 минути на съвременен бърз компютър. Но това ще се задава в настройките на форума.

Мисли, идеи, забележки?

Това му се вика math captcha, Джони, но определено мислиш иновативно

#83385 (ツ) Дон Реба
Създадено на 02.01.2023, видяно: 330 пъти.

кскво не и харесвате на нормалната капча?

#83386 (ツ) Golden Gega
Създадено на 02.01.2023, видяно: 326 пъти.

Абе харесват я, споко, просто не искат да се казва така. С приложението което се сваля пък правят и първа крачка към 2fa, само че това не е онова 2fa, а нещо съвсем ново и иновативно

#83387 (ツ) johnfound
Последно редактирано на 02.01.2023 от johnfound, видяно: 324 пъти.
Delegate

Извинявай, но това ми звучи абсурдно. Proof of work, копачки, сваляне на ехе-та.

Иначе, как му изпращаш хеша на новия кандиат-потребител ? В страницата за регситрация ?

В смисъл? Кое точно ти звучи абсурдно???

В момента регистрацията работи така (опростено):

1. Регистрира се някой. Данните му попадат в таблицата WaitingActivation.

2. Сървърът генерира случаен стринг, който се изпраща на потребителя по е-мейл. Този стринг трябва да се подаде към сървъра за да се активира акаунта.

3. Ако е-мейл активацията е изключена, то юзърът се редиректва към страницата за активация с готов активационен стринг в URL-то. Механизмът на активация винаги изисква таен стринг.

Това което аз предлагам е, вместо активационният стринг, да се изпраща премерно SHA-256 хешът му.

Кандидат потребителят ще трябва да си изчисли активационният стринг сам, чрез бруфорс и да го изпрати на сървъра, за да му се активира акаунта. Ако дължината на активационния стринг е правилно пресметната, то това ще му отнеме известно крайно време и натоварване на компютъра.

Което пък означава, че ако иска да регистрира хиляди потребители, това ще му коства хиляди пъти повече време и натоварване на компютъра.

Какво точно не е правилно в разсъжденията ми?

#83388 (ツ) Delegate
Създадено на 02.01.2023, видяно: 320 пъти.

Да, ок, но откога регистрацията тук изисква мейл ?

#83389 (ツ) johnfound
Създадено на 02.01.2023, видяно: 318 пъти.
Delegate

Да, ок, но откога регистрацията тук изисква мейл ?

Тук е изключена от опциите. Но си се поддържа от енджина.

#83390 (ツ) Golden Gega
Създадено на 02.01.2023, видяно: 315 пъти.
Delegate

Да, ок, но откога регистрацията тук изисква мейл ?

Пак не си чел, гледай Джонката какво е писал "Хрумна ми, вариант как да се направи така, че за да не се ограничават регистрациите чрез е-мейли" и малко след това "Сървърът генерира случаен стринг, който се изпраща на потребителя по е-мейл", т.е. регистрацията реално не изисква мейл освен за да ти прати случаен стринг, толкова е просто

#83391 (ツ) Дон Реба
Създадено на 02.01.2023, видяно: 315 пъти.

фрапиращо е обаче че фен на асм предлага защита със задача която йс решава за 5-10 мин. щом йс се оправя за 5 мин, за колко ли ще се оправи асемблер? аз не виждам проблем да нафлудя форума ако успявам да регна по един потребител на мин. докато нормална капча гаранция тук присъстващите не могат да разбият

#83392 (ツ) Golden Gega
Създадено на 02.01.2023, видяно: 313 пъти.
Дон Реба

фрапиращо е обаче че фен на асм предлага защита със задача която йс решава за 5-10 мин. щом йс се оправя за 5 мин, за колко ли ще се оправи асемблер? аз не виждам проблем да нафлудя форума ако успявам да регна по един потребител на мин. докато нормална капча гаранция тук присъстващите не могат да разбият

Аре не давай идеи че ще сложи Джонката някоя логическа капча с въпрос от асемблер и я се регне успешно някой я не

#83393 (ツ) johnfound
Създадено на 02.01.2023, видяно: 313 пъти.
Golden Gega

Това му се вика math captcha, Джони, но определено мислиш иновативно

Ами не. Captcha-та е механизъм за различаване на хора от ботове. Това, което обсъждаме никак не отличава хора от ботове.

#83394 (ツ) Дон Реба
Създадено на 02.01.2023, видяно: 310 пъти.

и какъв му е смисъла тогава?

#83395 (ツ) Delegate
Създадено на 02.01.2023, видяно: 310 пъти.
Golden Gega
Delegate

Да, ок, но откога регистрацията тук изисква мейл ?

Пак не си чел, гледай Джонката какво е писал "Хрумна ми, вариант как да се направи така, че за да не се ограничават регистрациите чрез е-мейли" и малко след това "Сървърът генерира случаен стринг, който се изпраща на потребителя по е-мейл", т.е. регистрацията реално не изисква мейл освен за да ти прати случаен стринг, толкова е просто

да, точно така, сега се сетих защо ми светната лампата за абсурдност.

0 1 2 3 4 5 6 7 8

Проблема фейк юзърите – възможно решение
0

Теми Отговор
AsmBB v3.0 (check-in: a316dab8b98d07d9); SQLite v3.42.0 (check-in: 831d0fb2836b71c9);
©2016..2023 John Found; Licensed under EUPL. Powered by Assembly language Created with Fresh IDE