从软件的功能介绍以及众多受害站长的情况分析该类软件:
1、施暴对象:较多站长使用的、通用的、成熟的网站管理系统,如:dvbbs、discuz、phpwind、powereasy、oblog等等;人气旺盛的各大网站的社区论坛、帖吧、评论、博客、留言本。
2、施暴手段:利用软件执行自动注册用户、发帖、博客、留言、评论的操作,以及自动登陆自助友情链接,自动搜索邮箱和用户ID并群发邮件和短信息,结合签名、昵称、个人资料发布垃圾的信息广告。受害站长通过人工管理的操作根本无法应付这种状况。
3、施暴技术:使用OCR解码破解“验证码”验证;使用智能扰码对抗“关键字”过滤;使用自动重拨号变更IP解决“屏蔽IP”;使用循环登陆结合预置用户解决发表时间限制;使用预置回复语随机回帖防范水帖垃圾帖的嫌疑;使用随机生成邮箱解决限制同一邮箱重复注册;使用自动填写答案解决防恶意注册……等等。
可见,什么关键字过滤,屏蔽IP,报到帖,限时发帖等等防范手段都是无效,而且花再大的精力增加验证码的辨析难度,对于现在OCR的技术根本是小菜一碟,只会增加浏览者的麻烦,更为难的是那些色盲弱视的人群。要解决问题的实质必须从注册审核着手,其次是发表操作的审核,必须将原来的图象形象验证方式改为软件无法识别的逻辑思维验证方式。
终极解决方法:问题验证!
问题验证应该分为两种:一种是注册时的固定问题验证;另一种是发帖、评论、留言、发表日志使用通用的随机问题验证。以下分别说明:
一、注册时的固定问题验证:
如果启用问题验证功能,用户注册前首先回答问题,填写答案,正确则进入下一步填写详细资料,否则退出,不予注册。而且通过站长灵活运用问题的设置,可以应用在多种类型网站的会员注册。
例一:应用在公司内部或小范围团体的网站可以类似这样设置问题验证:本公司财务部有几人?本公司的出纳姓氏?本公司刘德华的工号?
设置只有内部人员才知道的问题,就可以控制唯有内部人员才能注册。
例二:应用在学校或同一类职业人群的网站可以类似这样设置问题验证:我校建校的年份?我校校庆的月份?我们商会的简称?
设置同一类人群理当应该知道的问题,就可以防止局外人的注册。
例三:应用在不限注册范围,只为防止注册机自动注册可以这样设置问题验证:中国的英文第一个字母?国庆节在几月份?广东的简称?
例四:应用在绝对排他的目标明确的群体可以类似这样设置问题验证:请输入注册密码?请输入推荐码?等等
由于问题验证是由每一个站长自己设置,还可以随时修改,而且可能是一个问题,或两个,或三个,可能100个网站有数百个答案,而且经过MD5加密,暴力营销软件想再次暴力注册就不可能了,因为问题验证需要人的逻辑思维,软件实现不了,而且这样更灵活更人性化。
我从2003年提议风华同学录采取这种注册方式,运行了三年的同学录基本上没有什么垃圾用户。去年我再次提议动易增加这个功能,后来是增加了,但可惜并不能得到很好的应用,如果你在动易系统启用了问题验证注册的话,用户填写了一大堆资料后,最后才是填写问题验证,验证不通过则白忙浪费时间了,这要给人骂娘的!虽然可以自己修改,但是升级的时候难免增加麻烦,可见动易并不理解或不重视该功能的重要,问题验证注册权限是最优先而非最后!
二、其他操作(包括留言、发帖、评论、日志等)的随机问题验证:
站长在后台设置多个通用验证问题和答案,如果注册会员在前台留言、发帖、评论等等操作时,要求输入验证随机问题的答案,只要站长灵活应用问题的设置,可以让用户更方便简单地输入答案,或复制答案(ctrl+c,ctrl+v),例如这样设置问题:请输入1+1的答案?请在答案框内输入“验证”两字?国庆日是1还是2?等等。如下图:
由于每个站长设置的随机问题验证不同,而且前台问题验证是随机出现的,可能100个网站有数千个答案,而且经过MD5加密,暴力营销软件就根本没办法了!因为软件毕竟不能代替人的逻辑思维。
而通过程序来实现以上验证功能,对于编程员来说简直就是轻而易举!何必去追求越来越复杂的验证码呢?不知什么时候能结束这个垃圾信息的时代,期待!
这个方法我在oblog也提过多次,可能没能表达清楚,4.0版本继续使用那种傻瓜式的验证码,已经有不少4.0版本的oblog开始中招了!
动易也意识到这个问题,已经在动易论坛注册时增加了随机问题的验证,虽然阻挡了自动注册,但可惜发帖、回帖没有这个功能,还是被施暴了,见图:
另外,如果你在任何网页上公布过电子邮箱,那么这个邮箱就废了,因为你会发现该邮箱塞满了垃圾广告,是因为含有“@”的邮箱都会被搜索到,自然就成为施暴的对象了!所以如果要在网页上公布邮箱,只能以图片的形式来公布,或者以“#” 代替“@”,这样你的邮箱才有实际意义。
本来很容易解决的问题,却无可奈何,是思考方向的问题?还是人的惰性使然?我一直有这个想法,却未能实现,现详细列出说明,期望各位朋友参考,是否可行?
