继续关于“默认阻止 Tor 用户”的讨论:
链接的故事与我们应该如何保护 Discourse 没有关系。它适用于生活在中国和俄罗斯等国家的人们。
在我看来,问题在于封禁 IP 地址只能在短时间内起作用,这与封禁用户代理类似。它只能阻止那些不试图伤害你的不良行为者。但邪恶的攻击者……完全是浪费时间。
更改 IP 或用户代理是一个微不足道的技巧,对攻击者毫无帮助——我说的不是黑帽黑客,而是那些试图破坏论坛或让别人生活痛苦的混蛋。
应用程序不应该做本应在别处完成的任务。比如防火墙或数据包过滤。但它已经通过阻止用户代理和使用非 crontab 的东西来完成了。这是否是类似的情况。
我没有什么要求,但我很想听听大家的意见(如果可以,也包括一些技巧):
有什么想法吗?
您可以尝试使用 akismet。您可以尝试批准所有用户(但这非常不方便)。但如果是一个真正的人类在捣乱,您也无能为力。
我认为可能仍然有一个影子禁令插件。寻找有人创建影子禁令插件(我不知道他们是否创建了它,或者它是否可用)。或者您可以将该用户保留在一个所有人都可以静音的组中。
编辑:它确实存在:Discourse Shadowban 可能是让那个坏演员不知道他正在做的恶意行为无效的一种方法。
问题在于,绝大多数用户将其用于恶意目的,更不用说它在浏览暗网方面尤其受欢迎。
这大部分是你的说法。这不是事实。这是一个“事实 the factoid”
大多数恶意行为都来自暗网。现在我有两个用户在线,但有大约 20 个“敲门者”在试图寻找漏洞。实际上,禁止国家比禁止洋葱(Tor 的一种比喻)更有帮助。
但仍然没有太多可以做的。你可以手动禁止所有已知的 Tor 入口点,但如果服务器不告知……VPN 和 Tor 之间没有区别,我们也不会将 VPN 称为暗网的一部分。
但当然,他们正在使用隐藏身份的工具。那么你我能做什么呢?美国、法国、德国、英国、中国和俄罗斯都曾试图关闭网络的自由,但都没有成功,因为没有足够大的政治和经济影响力。我认为 Discourse 无法做得更多。
或者他们可以。他们可以构建一个可以识别恶意行为的人工智能。但让我们现实一点——在这一点上,几乎所有超出监控词语范围的东西都是科幻小说。
但我的弱点是禁止 IP 纯粹是浪费时间。它只会给人一种安全错觉,仅此而已。必须有一些其他工具,但那些选项要么很糟糕,要么更糟糕,因为那样我们就必须以某种方式开始限制所有用户。
Discourse 的信任级别是一个解决方案,而且实际上并不坏。但应该有比“点赞”更重要的指标(我只是不明白为什么要在乎计算点赞,因为那样信任级别就只是一个营销工具,仅此而已)或阅读量。什么指标?我不知道。
如果只有一个家伙在针对管理员/论坛,那情况就很困难——主要是因为除了禁止 IP 之外没有其他办法。所有其他的“敲门者”都更容易处理,因为大多数机器人都很愚蠢且编码糟糕。这就是为什么现在有一个越南 IP 在 Discourse 上试图利用 WordPress 一个古老的 XMLRPC 漏洞 
但大多数应用程序和服务都引导隐藏版本。Discourse 没有。是因为版本嗅探实际上是一个老掉牙的故事,还是有其他原因?
抱歉,你这是什么意思?
问题是 Tor 比任何 VPN 都更容易访问。Tor 用户只需单击按钮即可更改其 IP 地址。
顺便问一下,VPN 如何让您访问 .onion 网站?
如果用户的地理位置不断变化(例如,反复从法国变为韩国),这难道不是可疑行为吗?我无法想象 Tor 中继不可能被检测到。
好的,但什么都不做是不够的。对宽松安全措施的自满是灾难性的,只会让事情变得更糟。
有数十个或数百个 Discourse 站点在运行。目前尚不清楚是否存在“宽松安全”的证据。如果您想拥有更强大的 IP 级别控制,则需要使用反向代理来实现。
当然。
然而,Tor 处于边缘地带,几乎所有的恶意流量都来自 VPN。
现在我必须问:您是否使用过 VPN?有什么区别?您现在是在说大多数 VPS 用户都在使用普通的 OpenVPN 服务器吗?
给出 URL。我不明白您的问题。
有时是,有时不是。但再说一遍:您认为 VPN 允许这样做吗?
当然可以。虽然不容易。您可以尝试检测所有来自 VPS 服务器的用户,但这也不容易。
而且,这是必须在进入应用程序之前在服务器上完成的任务。
是的,但如果人们完全停止禁止IP地址会怎样?我只是在回应@Jagster的说法,因为他认为这是在浪费时间。
你怎么知道的?
我以前用过VPN,是的。但是虚拟专用服务器和这个讨论有什么关系呢?
你说VPN和Tor之间没有区别。
除非有人发明了传送技术,否则你不可能立即从法国到达韩国。
因此,只有一个解释……
至少这是可能的。也许有人可以开发一个专门用于此目的的#插件…… 
因为自托管的 OpenVPN 是唯一一种无法一键更改 IP 的情况。
这场讨论没有意义,因为
并非如此,大多数 Tor 用户只是因为易于上手并且感到好奇而使用它。 
这正是 Nextcloud 通过 Suspicious Logins app 所做的,我相信该应用很快将默认提供。
完全错误。我认为这表明对两者都不了解,因此只是澄清一下,这两者在各个方面都是不同的。
也不对,因为现在我们有了内置于 Linux 内核并准备好部署的 Wireguard,VPN 比以往任何时候都更容易使用。如果您指的是 Tor 浏览器捆绑包,请记住 Mozilla 现在在其 Firefox 浏览器中提供自己的 VPN 服务,这意味着您甚至不需要安装 Tor 捆绑包。
这样的对话令人困惑。我的理解是,人们担心的是 VPN 和 Tor 用户对一个易受攻击的公共论坛的威胁,但我想知道的是,为什么您不使用这些技术来使您的服务一开始就只允许受信任的用户访问(假设这对您来说是一个至关重要的问题)。
总是。
如果您面临的威胁是国家级别的行为者,那么是的。在这种情况下,您将处于危险之中,因为无限的资源和专业知识远远超出了我们的预期。如果您处于危险之中,我建议您永远不要在公共互联网上暴露自己(或您的服务),但我希望情况并非如此。 
原始主题的目的是讨论与不受欢迎但与安全无关的活动相关的 Tor 阻止。我的印象是,这个主题被分叉出来讨论与安全相关的 Tor/VPN 阻止,但由于回复而导致目的混淆。
阻止 Tor 和 VPN 有正当理由,但出于安全原因阻止它们并非其中之一。不良行为者可能会使用 Tor,他们可能会使用 VPN,他们也可能使用先前被破坏的系统,这些系统可能位于任何类型的连接上(数据中心/家庭/办公室/其他),位于世界任何地方。
同样,假设您的服务是公开可用的,没有特定理由阻止 Tor/VPN,那么合法用户也可能使用任何类型的连接。
如果观察到恶意活动,无论是手动还是自动机制,针对该特定活动的临时 IP 阻止可能会使手动攻击更加困难,而自动化攻击需要更大、更复杂的机器人网络,这可能会使您的服务对资源有限的行为者来说吸引力降低。
我主要只是想知道这是否不可能。不过,谢谢你的信息!
你怎么会知道这一点呢?
哦,那太好了!我得去看看!
为什么任何论坛都希望仅通过 Tor 访问?它比“普通”网络浏览器慢得多,而且试想一下让用户切换过来的噩梦…… 
在什么情况下?只是好奇…… 
这是一个权衡利弊的问题。使用 Tor 的“好”用户的百分比与使用 Tor 的“坏”用户的百分比是多少?
我不确定那会有多有效。考虑到 Tor 网络如此之大,试图阻止所有 IP 地址就像一场猫捉老鼠的游戏。
在各个方面?并非如此。只有当我们谈论它们背后的技术解决方案时,它们才有所不同。
对于一个查看日志的管理员来说,它们完全相同。有一个用户正在发出请求,这些请求来自一个正在更改 IP 的 VPS/看起来像 VPS 的东西。
这是一种观点。大多数攻击尝试都来自 VPN/Tor — 尽管 Tor 占少数。当这些攻击者使用过时的密码列表或尝试利用旧的 WordPress 漏洞时,他们的技能水平是另一回事。但像这样的起点,我们不阻止某些东西的来源,仅仅因为一个脚本小子几乎无法复制粘贴,这真的很薄弱。
但在这类话题中,应该永远记住,外面有两个几乎相反的世界:
前者不能仅仅根据某人进入网络的方式就假设他/她/它不是合法的人。后者可以,因为他们只从 VPS 和 Tor 那里得到垃圾信息。
所以,那么这个
并不总是正确的。这取决于。
如果我们谈论的是真正的攻击者,那倒是真的。但当外面只是另一个恼怒的人,他/她/它不使用 Linux。即使在使用比无头服务器更高级的东西,他/她/它也很可能不知道如何使用它。VPS 要容易得多。
所以——我们现在经常谈论两个不同的世界。或者说不同的情况。
我对 Tor 没有什么大问题。VPN 是另一回事,但这仅仅是因为抓取器和扫描器经常使用它。
对我来说,情况很简单。封禁一个 IP 没有任何意义,因为它会在 2-5 次尝试后改变。我采用了一种非常简单的解决方案,即运行纯本地服务,没有重大的财务重要性,并且可以使用 geoip。
不过,目前它没有在使用。而且我大约有 200 名并发访问者试图访问 SSH、WordPress、Drupal……等等,但只有 SEO 抓取器对 Discourse 感兴趣 
你有什么数据来支持这一点吗?
据我们所知,事实可能恰恰相反。
为什么不行?如果某人的 IP 地址在一个登录时段在加拿大,下一个登录时段在丹麦,再下一个登录时段在津巴布韦,这看起来合法吗?
看起来像是一个机器人正在使用VPN。
是的,那绝对不是合法的。也许我没有理解你想表达的观点?
我不确定我对指纹识别的看法,但这可能是一个选项(也许是用于插件)
AmIUnique 说我在“我们整个数据集中的 887481 个指纹”中是独一无二的(如果他们值得信赖的话,我现在才找到它)
编辑:他们显示了他们使用的信息,而且信息量很大,甚至因为 webgl 而包含我的显卡细节,这是完全可以做到的,一个人可以在不同的设备之间切换,并不断调整浏览器配置以尝试绕过它,所以它不会是完美的,也不是容易解决的问题
它已经是#插件了。
现在,大多数主流网络浏览器都试图阻止指纹识别(回到这个话题的最初主题,Tor 可能因为显而易见的原因对指纹识别最免疫)。
所以是的,也许几年前它可能是一个不错的选择,但随着大公司出于隐私原因打击广告商,指纹识别用户变得越来越困难。
它可以是一种启发式方法,将用户标记为手动验证,而不是直接阻止,因此它可以积极地进行识别。
Tor 可能很难识别特定用户,但将所有 Tor 用户置于手动验证之下是公平的,大多数论坛的用户中 Tor 用户不会太多。
(如果插件已经这样做了,我很抱歉,我正在使用移动设备,还没有查看过)
