ログインページと登録ページにCaptchaソリューションはありますか？

ログインページと登録ページにCaptchaソリューションはありますか？

ユーザーAPIについて\n

image1202×541 14.3 KB

それを見ていません。パスワードの長さの制限により、それらが不要になっているためだと思います。

問題が発生しましたか？

何？ 質問を読んでください

1. スパム登録を防ぐための CAPTCHA ソリューション（Google またはその他）について質問しました。

2. 次に API について質問しましたが、そこに独自のリンクを API に設定する必要がありますか？それとも標準のものを使用しますか？

3. ブログの公式表示について質問しましたが、多くの場所で表示されるこの表示は編集できますか？それとも管理者のみが見ることができ、ユーザーにはブログへのリダイレクトが表示されないのでしょうか？

サインアップ/作成モーダルにもキャプチャオプションが見当たりませんでした（私の検索スキルがひどいだけかもしれませんが ）。スパマーが心配な場合は、組み込みツールと併用できる Akismet プラグインがあります。

質問2または質問3の意味がよくわかりません。

3についてはよくわかりませんが、@Bitweb_Coreが2で何を尋ねようとしているのかは理解できると思います。

@Bitweb_Core、ユーザーAPIキーを完全に無効にしたい場合や、信頼レベルに基づいて制限したい場合（個人的にはお勧めしません）を除き、そのセクションを変更する必要はありません。デフォルトでは、DiscourseHubモバイルアプリケーションがインスタンスで機能します。

他にそのセクションを変更する必要があるのは、ユーザーAPIキーシステムを使用するサードパーティアプリケーションを開発している場合、またはあなたの代わりに誰かが開発している場合のみです。

問題はスパムではなく、数千ものアカウントが自動登録できること、または人々がログインページを総当たり攻撃できることです。
通常、ログイン、登録、パスワード回復ページにはCAPTCHA保護が必要です。
そして、あなたが提案した解決策は、原因ではなく症状を治療しているだけです。

デフォルトでCAPTCHAや「質問と回答」のような標準的なものがないのは、どのような理由からでしょうか。

現代のインターネットでは、CAPTCHAの存在は議論の余地がなく、論理的であると考えていました。

ソーシャルログインのみを許可したり、メールプロバイダーのホワイトリストを作成したりすることは、解決策ではないと思います。
CAPTCHAが発明されたのに、なぜ誰も必要としないような不可解なサービスの「松葉杖」を発明する必要があるのでしょうか。それ以外は、最初の防御線が破られた場合の追加オプションとして機能します。

ここで1つの解決策を見つけました：GitHub - klaudgrave/discourse-google-recaptcha: Adding Google Recaptcha to sign up form
しかし、フォーラムのアップデートにより、長らく機能しておらず、サポートもされていないようです。

しかし、プラグインが正常に機能するために必要なものに関するドキュメントを見つけることができません。見つけた解決策を修正するか、独自のものを書くために。

そして、ユーザーに長いパスワード（最低12文字、すべての文字セットを使用）のみを使用させるにはどうすればよいですか。
また、登録ページにパスワードの上に、ユーザーがすべてのサイトで同じパスワードではなく、ユニークなパスワードを使用するようにという注意書きを追加するにはどうすればよいですか。

キャプチャに関する議論はこちらです: Only allow user profiles for TL1 and above? - #24 by codinghorror

ホストされているサイトには必要ないようですので、おそらくあなたも必要ないでしょう。

理由は以下の通りです。

しかし、プラグインやテーマコンポーネントで追加することは certainly 可能です。

はい、キャプチャは何も変更しませんが、単純なブラウザマクロで100アカウントを作成しようとする子供のハッカーから保護し、多くのPOSTリクエストを送信してパスワードのリセットやログインページを介したDDoS攻撃から保護します。

Akismetは、hrumerベースのソフトウェアやAIのようなモンスターから保護するための2つの壁のようなものです。

悪いIPアドレスからは、すでにCloudflareからのキャプチャがあります。

しかし、私が言ったように、これらすべては複雑に使用する必要があります。キャプチャは、それが作成された目的のために機能します。

例として、DiscordチャンネルやTGチャンネルでさえ、ユーザーが参加すると、簡単なキャプチャを解き、Akismetのようなスパム対策ボットが機能し始めます（これも3番目のソリューションです）。

登録段階で拒否されるスパマーアカウントをデッドアカウントとしてデータベースに溜めるのはなぜですか。
ほとんどの場合、90％はキャプチャで拒否されます。

このように考えるなら、フォーラムをまったく保護する必要はありません。1日1回手動でスパムを削除し、デッドアカウントからデータベースをクリーンアップできます。

ハッカーがデータベースを盗むことができるのに、なぜ複雑なパスワードを使用するのですか。

「顕微鏡で釘を打つのはなぜですか」

それにはレート制限があります。

これも興味深いと思いました。

登録ページにレート制限はありますか？

例えば、ボットが不正確なデータで登録を試みたり、ランダムなデータが無制限に入力されたりして、データベースに非アクティブなアカウントという形でゴミが作成されるような状況です。

私自身、キャプチャがなく、そのせいで登録がほぼ使用不能になったサイトやフォーラムを個人的に観察したことがあります。

キャプチャは、スパム対策システムというよりは、レート制限のようなものだとおっしゃっていますね。単純に何度もキャプチャを解かせ、スパマーは人間ではない可能性があります。多くのキャプチャ解決サービスが存在することは秘密ではありませんが、それらもすべてのキャプチャを解決できるわけではありません（人間でも解決できないような偏執的な設定も存在します）し、Googleの隠しキャプチャのように「私はボットではありません」と入力する必要があるものもあります。

結局のところ、サーバーの不要な負荷を、比較的脆弱な場所で回避することに行き着きます。

いいえ、IPによるレート制限があります。これが可能だと信じているなら、試してみてください！どうぞ！

（今、50,000のIPアドレスにアクセスできるなら、それは問題ですが、それだけの「お金」と「時間」も必要です。それだけの「お金」と「時間」を持っていますか？）

とはいえ、二重、三重の保護を望むサイトにはキャプチャプラグインを全面的に支持しますが、最近のキャプチャは非常に奇妙になっています。

IPごとの試行回数や待機時間などのレート制限を、登録、パスワードリセット、ログインページで探しましたが、設定で見つかりませんでした。

非アクティブなアカウントの自動削除については見つけましたが、なぜそれらを作成できるままにしているのでしょうか？

ブラウザのマクロなどを使って、簡単に10万アカウント以上作成できないようにしたいです。 スパマーはXRumerやニューラルネットワークソフトウェアを使用するため、何も保護できないかもしれませんが、最も簡単なCAPTCHA（「私はボットではありません」など）がユーザーの行動を見るため最も効果的であることは知っています。

しかし、詐欺師が手を休めずに作業しているというメッセージには笑ってしまいました。子供かもしれませんが、実際のスパマーは大量に行っています。

何千ものアカウントを手動で作成する人を想像することはできませんが、それでも10回のCAPTCHAの後には気が狂ってしまうでしょう。 特に、タイマー付きの中国のくだらないCAPTCHAであれば。

人間のスパマーに対するもう一つの優れた保護策は、キャンバスでのブラウザフィンガープリントです。

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.