登录和注册页面有验证码解决方案吗?

支持
1

登录和注册页面是否有验证码解决方案?

ReCaptcha, how to implement at login?
2

关于用户 API

image
image1202×541 14.3 KB

我需要更改它,让它转到我的网站?

还有另一个问题,我什么时候可以编辑博客。全局链接放在任何地方

3

我没见过。我认为这是因为密码长度限制使它们变得不必要。

您遇到过问题吗?

4

什么? :slight_smile: 阅读问题

  1. 我问的是关于验证码的解决方案——无论是谷歌还是其他防止注册垃圾邮件的方案。

  2. 接下来我问了关于 API 的问题,我需要在那里放自己的 API 链接吗?还是使用标准的?

  3. 问题是关于 blog.official 的,因为它显示在很多地方,我可以编辑它吗?还是只有管理员能看到,用户看不到它会重定向到博客?

5

我也没在注册/创建模态框中看到验证码选项(不过这可能是因为我搜索能力太差 :slight_smile:)。如果你担心垃圾信息发送者,可以使用 Akismet 插件,并结合内置工具使用?

我不确定你说的第二和第三个问题是什么意思。:slight_smile:

2 个赞
6

我不确定第3个问题,但我认为我知道@Bitweb_Core在第2个问题中想问什么。

@Bitweb_Core 除非你想完全禁用用户API密钥或根据信任级别限制它们(我个人不推荐这样做),否则你不需要更改该部分中的任何内容。默认设置允许DiscourseHub移动应用程序与你的实例一起工作。

你唯一需要进行更改的时候是当你或你公司的人员正在开发使用用户API密钥系统的第三方应用程序。

2 个赞
7

问题甚至不在于垃圾邮件,而在于可以自动注册数千个帐户,或者人们可以尝试暴力破解登录页面。
通常,登录、注册和密码恢复页面应该受到验证码的保护。
而您建议的解决方案只是在处理症状而不是病因。

我想问一下,为什么默认情况下没有像验证码或“问题-答案”这样的标准功能。

我曾认为,在现代互联网上,验证码的存在是不容置疑的,是合乎逻辑的。

只允许社交登录,创建电子邮件提供商白名单,我认为都不是解决方案。
为什么要想出像不需要的、无人问津的晦涩服务这样的拐杖,而验证码就是为此而发明的,而其他所有东西都可以作为额外的选项,以防第一道防线被攻破。

我在那里找到了一个解决方案 GitHub - klaudgrave/discourse-google-recaptcha: Adding Google Recaptcha to sign up form
但由于论坛更新,它似乎已经很长时间没有工作并且不受支持了。

但我找不到关于插件如何正常工作的文档。来修复找到的解决方案或编写自己的解决方案。

以及如何允许用户只使用至少12个字符且包含所有字符集的长密码。
另外,在注册页面的密码上方添加说明,提醒用户不要在所有网站上使用相同的密码,而是使用唯一的密码。

8

这里有一些关于验证码的讨论:Only allow user profiles for TL1 and above? - #24 by codinghorror

看起来没有托管网站需要它,所以你可能也不需要。

原因如下:

但当然可以通过插件或主题组件来添加。

9

是的,验证码不会改变任何东西,但它可以防止一些试图用简单的浏览器宏创建 100 个账户的年轻黑客。
并通过发送大量 POST 请求来防止通过恢复密码和登录页面进行的 DDoS 攻击。

Akismet 是更高级别的保护,可以防御像 hrumer 软件和任何人工智能这样的怪物。

来自不良 IP,它已经有一个来自 Cloudflare 的验证码。

但正如我所说,所有这些都需要复杂地使用,验证码可以完成它被创造出来的目的。

例如,即使是 Discord 频道或 TG 频道,当用户加入时,他们会解决一个简单的验证码,然后像 Akismet 这样的反垃圾邮件机器人就开始工作(我知道那里也有第三种解决方案)。

如果垃圾邮件在注册阶段就被拒绝,为什么还要在数据库中充斥着无效的垃圾邮件账户呢?
几乎 90% 的用户在验证码阶段就被拒绝了。

如果这样想,为什么还要保护论坛呢?你可以每天手动删除垃圾邮件,并从数据库中清除无效账户。

为什么使用复杂密码,而黑客却可以窃取你的数据库。

:smile:

“为什么要用显微镜敲钉子”

10

对此有限制。

1 个赞
11

我也觉得这个很有意思

12

注册页面是否存在速率限制?

例如,某种机器人会用错误的数据大量注册,或者有人随意输入数据而不间断地注册,从而在数据库中创建大量未激活的账户垃圾数据。

我亲眼见过一些服务没有验证码,因此关闭了注册功能,因为这几乎让那些网站或论坛无法使用……

您认为验证码更像是速率限制,而不是垃圾信息防护系统,您只是让他们一遍又一遍地解决验证码,而垃圾信息发送者可能不是人类,因为存在许多验证码解决服务这早已不是秘密,但他们无法解决所有验证码(存在一些即使人类也无法解决的偏执设置),并且存在谷歌隐藏的验证码,需要点击“我不是机器人”。

这一切归根结底是为了避免在非常脆弱的地方给服务器带来不必要的负载。

13

不,有按IP地址的速率限制。如果您认为这是可能的,请尝试一下!尽管去吧!

(现在,如果您拥有50,000个IP地址的访问权限,那么是的,那是一个问题,但您也拥有大量的资金和时间。您有那么多资金和时间吗?)

话虽如此,我完全支持那些想要双重加倍的“皮带和吊带以及连体衣以及摩托车头盔以及足球护肩”级别的保护的网站的验证码插件,但最近的验证码变得非常非常奇怪。

2 个赞
14

我搜索了注册、密码重置和登录页面的速率限制,但在设置中没有找到 :neutral_face: (例如,我想允许每个 IP 只有 5 次尝试,然后等待 xx 时间)

关于自动删除未激活账户,我找到了,但为什么还允许创建它们 :slight_smile:

我想通过使用浏览器中的简单宏来阻止创建 100500 个账户。:slightly_smiling_face:,正如我所说,没有什么能真正防御垃圾邮件发送者 (他们使用 XRumer 或神经网络软件)。但正如我所知,最简单的验证码,如“我不是机器人”,效果最好,因为它会查看用户的操作。

但关于骗子们睡着了还动手发消息的消息让我笑了,也许是一些小孩,但真正的垃圾邮件发送者是批量进行的。

我无法想象一个人坐在那里手动创建数千个账户
但即便如此——在 10 个验证码之后,他会发疯 :sweat_smile:
尤其是如果它是一种带有计时器的荒谬的中文验证码 :rofl:

另一种针对人类垃圾邮件发送者的绝佳保护措施是画布中的浏览器指纹。

15

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.