Discourse 指纹 - 浏览器指纹识别插件

mcdanlj · 2020 年8 月 24 日 11:54

有用户向我（作为管理员）求助，为确认他们遇到的问题，我模拟了他们的身份进行操作。

现在系统显示我与该用户共享指纹。我已隐藏该指纹，但它仍会作为干扰信息出现在指纹列表中。

考虑到管理员具备模拟用户的能力，是否应考虑增加一项设置，将工作人员（至少是管理员）排除在指纹匹配之外？

Chaboi_3000 · 2020 年8 月 26 日 22:05

是否有计划将此插件添加到商务托管服务中？这将帮助我更轻松地识别可能的马甲账号。如果没有，您推荐哪些其他替代方案？

WorldIsMine · 2020 年9 月 8 日 08:04

看起来是个很棒的插件，我现在就试试看。

WorldIsMine · 2020 年9 月 10 日 09:59

我目前的观察。

如果试图挖掘疑似重复账号，会有大量匹配项和数据需要查阅。在我看来，如果该插件能在某个成员被禁言或封禁时，高亮（或优先显示）匹配的设备指纹列表，其实用性将大幅提升。人们在没有被禁的情况下建立小号的原因很少，但被封禁的成员总会试图溜进来。如果能在列表中显示这些信息，该插件的实用性很可能会得到增强。

Mevo · 2020 年9 月 10 日 11:57

我不同意你的看法。在某些社区中，使用马甲（sockpuppeting）可能是一个严重的问题。此外，有些用户无论参与哪里，都更倾向于做这种事。我本人就曾亲眼见过。
我也不确定关于“被禁成员总是试图偷偷潜入”的说法是否准确。

不过，这并不意味着你的建议没有用处。

WorldIsMine · 2020 年9 月 10 日 12:28

我想你是对的，现在仔细一想。我忘了用户会创建小号来推行他们的议程，不管那是什么。

dan · 2020 年10 月 12 日 09:46

下次有匹配指纹的用户访问网站时，可以将其禁言。

这些错误应该被修复。

从 app.yml 中删除该行并重新构建您的实例应该就足够了。

您遇到了什么错误？

我认为我可以为此添加一个选项。

我同意您的观点，我认为我可以实现某种指示器来高亮显示被封禁的用户。

嗯，这是一个有趣的错误，因为已有检查确保该方法仅在数据确实存在时才会被调用。您使用的是最新版本吗？

github.com/discourse/discourse-fingerprint

app/serializers/flagged_fingerprint_serializer.rb

main


      
              return data if data.is_a?(Hash) && data.keys.length > 0
            end
          rescue JSON::ParserError
          end

mcdanlj · 2020 年10 月 12 日 12:42

我遇到过这样一个情况：一个链接垃圾发送者在我们封禁任何一个账号之前，就已经用五个傀儡账号注册了。这确实存在。我估计，几乎任何拥有搜索流量且允许开放注册的网站，都可能面临 SEO 垃圾傀儡账号的骚扰；唯一的问题在于管理员是否_发现_了它们。

@dan 在使用这个插件一段时间后，我再提一个建议：在显示与某个指纹匹配的用户列表中，我总是习惯点击用户的头像，期望它们能链接到管理员页面或个人资料页面，以便我快速调查这些是误判还是真正的傀儡账号。我建议直接链接到管理员页面可能对调查更有帮助，但无论哪种方式，都比先阅读悬停提示、记住用户 ID，再希望自己在用户搜索中正确输入该 ID 以最终访问其实际用户数据要方便得多。

dylanh724 · 2020 年10 月 14 日 03:08

这个插件太棒了……抓到了那么多不断更换 VPN IP 的喷子。

这应该被视为 Discourse 的原生功能（@codinghorror）。仅靠 Cookie、缓存和 IP 已不足以应对 2020 年反复出现的喷子攻击。

codinghorror · 2020 年10 月 14 日 04:07

问题在于，当用户使用的是 iPhone 时，它完全无法运行。这是一个致命的弱点，且无法克服。

mcdanlj · 2020 年10 月 16 日 14:13

事实证明，我的垃圾邮件发送者并非使用 iPhone。我们利用数据探索器来识别“先发布看似无害的文本，随后将其编辑为链接垃圾”的攻击行为。设备指纹技术在此方面表现优异，有效帮助我们识别这些垃圾邮件发送者，并加速了攻击的阻断。我并非主张该功能应默认启用；我不喜欢收集个人身份信息（PII），也不会无故收集。如果我们没有垃圾邮件或网络骚扰问题，我绝不会希望使用它，这并非因为该功能具有恶意，而是因为我无意在缺乏服务相关需求的情况下收集个人身份信息。因此，我认为该功能确实有用，同时将其作为插件而非核心功能也合乎逻辑。让用户主动选择是否启用，是对隐私的一种保护。在实施之前，我已与整个版主社区就他们对这一功能的看法进行了沟通，很庆幸能提前开展这场对话。

codinghorror · 2020 年10 月 23 日 00:33

没问题，我很乐意进行这项实验。但需要让大家意识到，当前的趋势是浏览器正大力收紧所有指纹识别方法。这一趋势在 iOS 上最为明显，但我预计随着时间的推移，它将扩展到几乎所有浏览器和平台。

mcdanlj · 2020 年10 月 23 日 02:40

这种讨论中的“半线程”结构容易让人困惑：我不确定你打算回复谁，导致你的指代对象不明确。不确定你实际上是在回复我，还是在回复 @dylanh724……

不过无论如何，我认为目前将其保留在插件中的现状是个不错的做法。

codinghorror · 2020 年10 月 23 日 03:09

语境很明确：我这是在回复该主题（浏览器指纹识别的根本性弱点），以及任何觉得我所说的内容与他们相关的人。

codinghorror · 2020 年11 月 21 日 08:43

话题		回复	浏览量
Browser Fingerprinting plugin updates? Support	5	1082	2019 年1 月 26 日
Questions about moving an existing forum to Discourse Community Building	23	3101	2021 年11 月 23 日
Build a browser fingerprinting plugin Marketplace	2	1578	2018 年8 月 23 日
Handling trolls with multiple accounts over VPNs Feature	65	12883	2020 年2 月 3 日
Discourse-fingerprint -- what is it telling me? Support	9	1158	2022 年6 月 28 日

Discourse 指纹 - 浏览器指纹识别插件

相关话题