القصة المرتبطة ليس لها أي دور في كيفية تأمين Discourse. إنها مخصصة لأولئك الذين يعيشون في بلدان مثل الصين وروسيا.
كما أرى أن المشكلة هي أن حظر عنوان IP يساعد لفترة قصيرة فقط وهو إجراء مشابه لحظر وكيل المستخدم. إنه يعمل فقط ضد أولئك الذين يسلكون سلوكًا سيئًا ولا يحاولون إلحاق الأذى بك. لكن الأشرار … مضيعة للوقت تمامًا.
تغيير عنوان IP أو وكيل المستخدم هو خدعة تافهة لا تساعد ضد المهاجم - أنا لا أتحدث عن القبعات السوداء ، ولكن عن الحمقى الذين يحاولون كسر منتدى أو جعل حياة شخص ما بائسة.
لا ينبغي للتطبيق القيام بمهام يجب القيام بها في مكان آخر. مثل جدار الحماية أو تصفية الحزم بشكل عام. ولكنه يقوم بذلك بالفعل عن طريق حظر وكلاء المستخدم واستخدام شيء آخر غير crontab. هل هذا وضع مشابه.
لا أطلب شيئًا ، لكنني أود سماع الآراء (ولماذا لا الحيل أيضًا)
ما هي تدابير الأمان التي يجب على مسؤول الاستضافة الذاتية اتخاذها
هل Discourse عرضة للأشخاص الغاضبين والماهرين (أعلم أن لديكم برنامج مكافآت ، ولكن هذه لعبة أخرى)
وعلى المستوى العام تقريبًا: هل حظر عناوين IP ووكلاء المستخدم مجرد خدعة لإعطاء شعور زائف بالأمان لأننا خسرنا هذه الحرب بالفعل ؛)
يمكنك تجربة akismet. يمكنك تجربة الموافقة على جميع المستخدمين (وهو أمر غير مريح للغاية). ولكن إذا كان هناك إنسان حقيقي يحاول أن يكون مزعجًا فلا يوجد الكثير مما يمكنك فعله.
أعتقد أنه قد لا يزال هناك مكون إضافي للحظر الشبحي. البحث عن شخص لإنشاء مكون إضافي للحظر الشبحي (لا أعرف ما إذا كانوا قد أنشأوه أم أنه متاح). أو يمكنك ببساطة الاحتفاظ بالمستخدم في مجموعة كتمها الجميع.
تحرير: إنه موجود بالفعل: Discourse Shadowban قد تكون طريقة لجعل الفاعل السيئ الوحيد لا يدرك أن ما يفعله ليكون خبيثًا ليس له أي تأثير.
هذه الأغلبية جاءت منك. إنها ليست حقيقة. إنها معلومة زائفة
معظم الأغراض الخبيثة تأتي من الويب الخفيف. حاليًا لدي مستخدمان متصلان بالإنترنت، ولكن هناك حوالي 20 محاولًا للعثور على ثغرات. في الواقع، حظر الدول يساعد أكثر من حظر البصل.
ولكن لا يزال هناك الكثير الذي يمكن فعله. يمكنك حظر كل نقطة دخول معروفة لـ Tor يدويًا، ولكن إذا لم يبلغ الخادم عن ذلك… لا يوجد فرق بين VPN و Tor، ونحن لا نسمي شبكات VPN كجزء من الويب المظلم.
ولكن بالطبع هم يستخدمون أدوات تخفي الهوية. ماذا يمكنك ونحن أن نفعل حينها؟ حاولت الولايات المتحدة وفرنسا وألمانيا والمملكة المتحدة والصين وروسيا إغلاق حرية الإنترنت، دون أي نجاح لأنه لا توجد قوة سياسية ومالية كافية. لا أرى كيف يمكن لـ Discourse أن تفعل المزيد.
أو يمكنهم ذلك. يمكنهم بناء ذكاء اصطناعي يمكنه تحديد السلوك الخبيث. ولكن لنكن واقعيين هنا - كل شيء تقريبًا يتجاوز الكلمات المراقبة هو خيال علمي في هذه المرحلة.
ولكن نقطة ضعفي هي أن حظر عناوين IP هو مجرد مضيعة للوقت. إنه يعطي وهمًا بالأمان، لا أكثر. يجب أن تكون هناك أدوات أخرى ولكن هذه الخيارات سيئة وأسوأ، لأنه حينها يجب أن نبدأ في تقييد جميع المستخدمين بطريقة ما.
مستوى الثقة في Discourse هو حل واحد وليس سيئًا على الإطلاق. ولكن يجب أن تكون هناك مقاييس أخرى غير الإعجابات (لا أفهم لماذا يهتمون بعد الإعجابات، لأن TL حينها هو أداة تسويق، لا شيء آخر) أو القراءات. ما هي المقاييس؟ لا أعرف.
إذا كان شخص واحد فقط يلاحق مسؤولًا / منتدى، فإن هذا الوضع صعب - في الغالب لأنه لا يوجد شيء آخر غير حظر عناوين IP. كل المتسللين الآخرين أسهل، لأن غالبية الروبوتات غبية وسيئة البرمجة. لهذا السبب حاليًا يحاول عنوان IP فيتنامي استغلال ثغرة XMLRPC قديمة في WordPress في Discourse
ولكن معظم التطبيقات والخدمات توجه إلى إخفاء الإصدار. ليس Discourse. هل هذا بسبب أن استشعار الإصدار قصة قديمة أم هناك أسباب أخرى؟
المشكلة هي أن Tor أكثر سهولة في الوصول إليه من أي VPN موجود. يمكن لمستخدمي Tor تغيير عنوان IP الخاص بهم بنقرة زر.
بالمناسبة، كيف تسمح شبكة VPN بالوصول إلى موقع ويب .onion؟
إذا كان موقع المستخدم يتغير باستمرار (على سبيل المثال، من فرنسا إلى كوريا الجنوبية) مرارًا وتكرارًا، فهل هذا ليس سلوكًا مريبًا؟ لا يمكنني تخيل أن يكون من المستحيل اكتشاف خوادم Tor.
هناك عشرات أو مئات من مواقع Discourse قيد التشغيل. ليس من الواضح أن هناك أي دليل على “أمن متساهل”. إذا كنت تريد أن يكون لديك تحكم أقوى على مستوى IP، فستحتاج إلى القيام بذلك باستخدام وكيل عكسي.
خاطئ تمامًا. أقرأ هذا على أنه عدم فهم لأي منهما، لذلك فقط أوضح أن هذين شيئين مختلفين بكل معنى الكلمة.
غير صحيح أيضًا، لأن شبكات VPN أسهل من أي وقت مضى في الاستخدام الآن بعد أن أصبح لدينا Wireguard مدمجًا في نواة Linux وجاهزًا للنشر. إذا كنت تشير إلى حزمة متصفح Tor، فتذكر أن Mozilla تقدم الآن خدمة VPN الخاصة بها داخل Firefox، مما يعني أنك لن تحتاج حتى إلى تثبيت حزمة Tor.
المحادثات مثل هذه مربكة. فهمي هو أن القلق ينبع من التهديدات التي تشكلها شبكات VPN ومستخدمو Tor على منتدى عام ضعيف، ولكن ما أتساءل عنه هو لماذا لا تستخدم هذه التقنيات لجعل خدمتك متاحة فقط للمستخدمين الموثوق بهم في المقام الأول (بافتراض أن هذه مشكلة ذات أهمية قصوى بالنسبة لك).
دائمًا.
إذا كان التهديد الذي تواجهه هو جهة فاعلة على مستوى الدولة، فإن نعم. في هذه الحالة ستكون في خطر لأن الموارد والخبرات غير المحدودة تتجاوز بكثير ما يمكننا توقعه. إذا كنت في خطر، أقترح ألا تعرض نفسك (أو خدماتك) أبدًا على الإنترنت العام، ولكن آمل ألا يكون هذا هو الحال.
كان الموضوع الأصلي يهدف إلى مناقشة حظر Tor فيما يتعلق بالأنشطة غير المرغوب فيها ولكن غير المتعلقة بالأمان. انطباعي هو أن هذا الموضوع تم فصله لمناقشة حظر Tor/VPN فيما يتعلق بالأمان ولكن الأغراض اختلطت من خلال الردود.
هناك أسباب مشروعة لحظر Tor و شبكات VPN، ومع ذلك فإن القيام بذلك من أجل الأمان ليس أحدها. قد يستخدم الجهات الفاعلة السيئة Tor، وقد يستخدمون شبكات VPN، وقد يستخدمون أيضًا أنظمة تم اختراقها سابقًا والتي يمكن أن تكون على أي نوع من الاتصال (مركز بيانات / منزل / مكتب / أيًا كان) في أي مكان في العالم.
وبالمثل، بافتراض أن خدمتك متاحة للجمهور دون سبب محدد لحظر Tor/VPNs، فقد يكون المستخدمون الشرعيون أيضًا على أي من أنواع الاتصال هذه.
إذا لوحظ نشاط ضار، سواء كان ذلك يدويًا أو بآلية تلقائية، فإن حظر IP المؤقت لهذا النشاط المحدد قد يجعل الهجمات اليدوية أكثر صعوبة ويتطلب الهجمات الآلية شبكة روبوتات أكبر وأكثر تعقيدًا، مما قد يجعل خدمتك أقل جاذبية كهدف للجهات الفاعلة ذات الموارد المحدودة.
كنت أتساءل في الغالب عما إذا كان ذلك مستحيلاً. شكرًا لك على المعلومات! : +1:
كيف تعرف ذلك إذن؟
أوه، هذا رائع! سأضطر إلى التحقق منه!
نعم، أشير إلى متصفح الويب. القدرة على تنزيله وتشغيله مثل أي متصفح ويب آخر أمر مريح للغاية لأي شخص يتطلع إلى إخفاء ما يفعله. معظم شبكات VPN المجانية مشبوهة (وعلى الأرجح، إنها تبيع بياناتك لشركات أخرى)، وإذا كنت ترغب في استخدام شبكة VPN ذات سمعة طيبة، فسيتعين عليك دفع بضعة دولارات كل شهر. Tor مجاني وذو سمعة طيبة. لا يمكنك التنافس مع المجاني. : person_shrugging:
هذه نقطة مشابهة للنقطة أعلاه، لكن VPN الخاص بـ Mozilla يكلف المال.
لماذا قد يرغب أي منتدى في جعله متاحًا حصريًا عبر Tor؟ إنه أبطأ بكثير من متصفحات الويب “العادية”، وتخيل الكابوس الذي سيواجه المستخدمين للتبديل… : dizzy_face:
في أي سياق؟ مجرد فضول… : slight_smile:
إنها مسألة موازنة الإيجابيات مقابل السلبيات. ما هي نسبة المستخدمين “الجيدين” الذين يستخدمون Tor مقارنة بنسبة المستخدمين “السيئين” الذين يستخدمون Tor؟
لست متأكدًا من مدى فعالية ذلك. بالنظر إلى مدى ضخامة شبكة Tor، سيكون الأمر أشبه بلعبة القط والفأر لمحاولة حظر جميع عناوين IP.
بكل معنى الكلمة؟ لا ليس كذلك. هذه مختلفة فقط عندما نتحدث عن الحل التقني وراءها.
بالنسبة للمسؤول الذي يقرأ السجلات، فهي متطابقة تمامًا، لا يوجد فرق. هناك مستخدم يقوم بطلبات من عنوان IP متغير يؤدي إلى VPS / شيء يشبه VPS ..
هذه وجهة نظر واحدة. معظم محاولات الهجوم تأتي من VPN / tor - tor أقلية صغيرة، مع ذلك. مستوى المهارة عندما يستخدم هؤلاء المهاجمون قوائم كلمات مرور قديمة أو يحاولون استغلال ثغرات WordPress القديمة هو قصة أخرى. ولكن نقطة البداية هذه حيث لا نمنع شيئًا من المصدر لمجرد أن طفل نصي بالكاد يستطيع النسخ واللصق، ضعيفة حقًا.
ولكن في مواضيع مثل هذا يجب أن نتذكر دائمًا أن هناك عالمين، متعاكسين تقريبًا:
عالمي مقابل محلي
أعمال مقابل (تقريبًا) كل شيء
الأول لا يمكنه افتراض أن شخصًا ما ليس شخصًا شرعيًا فقط بناءً على كيفية دخوله إلى الشبكة. يمكن للثانيين عندما يحصلون على قمامة فقط عبر VPS و tor.
إذن، ثم هذا
ليس صحيحًا دائمًا. يعتمد الأمر.
هذا صحيح إذا كنا نتحدث عن مهاجمين حقيقيين. ولكن عندما يكون هناك شخص آخر غاضب لا يستخدم لينكس. وحتى لو كان هناك شيء آخر قيد الاستخدام غير الخادم بدون رأس، فهناك احتمال كبير أنه ببساطة لا يعرف كيفية استخدامه. VPS أسهل بكثير.
لذا - نحن غالبًا ما نتحدث عن عالمين مختلفين. أو حالات.
ليس لدي أي مشاكل كبيرة مع tor. VPN قصة أخرى ولكن هذا فقط لأن الكاشطات والقارعين يستخدمونه كثيرًا.
بالنسبة لي الوضع سهل للغاية. لا توجد نقطة على الإطلاق لحظر عنوان IP لأنه سيتغير بعد 2-5 محاولات. أنا في حل سهل لدرجة أنني أقوم بتشغيل خدمات محلية بحتة بدون أي أهمية مالية كبيرة ويمكنني استخدام geoip.
في الوقت الحالي، لا يتم استخدامه. ولدي ما يقرب من 200 زائر متزامن يحاولون الوصول إلى SSH و WordPress و Drupal … إلخ، ولكن فقط الكاشطات SEO مهتمة بـ Discourse
لماذا لا؟ إذا كان عنوان IP لشخص ما في كندا خلال فترة تسجيل دخول واحدة، ثم في الدنمارك خلال فترة تسجيل الدخول التالية، ثم في زيمبابوي خلال فترة تسجيل الدخول التالية، فهل يبدو ذلك شرعيًا؟
لست متأكدًا من رأيي بشأن بصمات الأصابع، ولكن يمكن أن يكون هذا خيارًا (ربما للمكون الإضافي)
AmIUnique يقول إن لدي بصمة فريدة ضمن “887481 بصمة في مجموعة بياناتنا بأكملها” (إذا كان يمكن الوثوق بهم، فقد وجدتها للتو الآن)
تعديل: يعرضون المعلومات التي يستخدمونها، وهي كثيرة، حتى التفاصيل من بطاقة الفيديو الخاصة بي بسبب webgl، يمكن القيام بذلك تمامًا، يمكن للمرء التبديل بين الأجهزة المختلفة، والاستمرار في العبث بتكوين المتصفح لمحاولة التحايل عليه، لذلك لن يكون مثاليًا أو سهلًا لحل المشكلة.
تحاول معظم متصفحات الويب الرئيسية الآن حظر بصمات الأصابع (وبالعودة إلى الموضوع الأصلي لهذا الموضوع، فإن Tor ربما يكون الأكثر حصانة ضد بصمات الأصابع لأسباب واضحة).
لذا نعم، ربما كان يمكن أن يكون خيارًا جيدًا قبل بضع سنوات، ولكنه أصبح من الصعب بشكل متزايد أخذ بصمات أصابع المستخدمين حيث تقوم الشركات الكبرى بقمع المعلنين لأسباب تتعلق بالخصوصية.
قد يكون من الممكن استخدام طريقة استدلالية ووضع علامة على المستخدم للمراجعة اليدوية بدلاً من حظره مباشرة، بحيث يمكن أن تكون عدوانية في تحديدها.
قد يكون من الصعب تحديد مستخدم معين باستخدام Tor، ولكن سيكون من العدل بما فيه الكفاية وضع جميع مستخدمي Tor تحت المراجعة اليدوية، ولن يكون لدى معظم المنتديات الكثير منهم.
(آسف إذا كان المكون الإضافي يفعل ذلك بالفعل، أنا على الهاتف المحمول، لم أتحقق منه بعد)
