问题标签 [spam-prevention]

我目前正在编写一个 iPhone 应用程序，它从用户那里获取一些数据并将其上传到服务器。上传的数据将显示给同一程序的其他用户（不仅如此，但为了保持简单......）。上传的数据基本上只有三个字符串：一个名称（最多 50 个字符）、一个标题（最多 50 个字符）和一些文本（几乎无限的字符）。我需要的基本上是一个函数、服务或算法，它可以检测数据输入的有效性。它必须能够检测到一系列重复字符、某些“非法”单词、异常空格等。所以我的问题是；是否有用于此类数据验证的 C 或 Objective-C 库（内置或开源），否则，我将如何进行此类检查？

以下是好数据和坏数据的两个示例：

好的：

坏的：

我知道对这么多情况采取预防措施会很困难，但是这个算法/​​库只需要过滤最糟糕的垃圾邮件。我还将在最终数据库提交之前查看数据，但当然垃圾邮件越少，我就越容易拥有它。

你的，本。

编辑：我最“流利”的语言是 Objective-C，但我在 C 方面也做得很好，而且我了解 PHP 和 JAVA。其他语言的库/示例对我来说可能难以理解，并且“翻译”成有效的 iPhone 语言。

编辑编辑：我不是在寻找过于复杂的东西。对我来说只是一个简单的粗剪方法。

我一直在开发一个可能容易受到用户滥用的网络应用程序，尤其是垃圾评论/帐户。我知道 RECAPTCHA 会针对假用户处理机器人，但它不会对那些创建帐户并以某种方式将垃圾评论放在自动驾驶仪上的用户做任何事情（就像我在 Twitter 上无数次看到的那样） .

我想到的解决方案是让任何用户标记另一个用户，然后在只有管理员可以访问的用户索引操作上出现一个标记用户列表（布尔属性）。然后被标记的用户可以成为禁止（另一个布尔属性）或取消标记的候选者。被禁止的用户仍然可以访问该站点，但权限将大大降低。由于某些原因，我不想完全删除用户。

然而，当我想到这一点时，我意识到通过标记用户列表来决定哪些用户应该被禁止或取消标记对于管理员来说可能非常耗时。如果没有雇用某人来对用户进行取消标记/禁止，是否有更自动化和更优雅的方式来解决这个问题？

我很好奇那里是否有人知道可能像 Akismet 之类的东西，但内容不必转到第 3 方服务器。在具有关键敏感数据（例如患者记录）的情况下，我不一定希望将这些信息发送到我无法控制的另一台服务器。我真的很喜欢 Akismet，它在大多数情况下都很好用。但是，我需要更像是私有的本地 Akismet 实例，并且能够半定期更新。如果它与 Python 一起使用会更好，因为我需要它来与 Django 应用程序交互。我应该走 SpamBayes 的路线吗？

我注意到，为了投票，SO 实现了一个 XHR 方法，该方法 POST 到帖子控制器并通过 URL 发送帖子 ID 和投票类型，此外fkey还发送了一个参数，例如：

我将实施类似的技术，我想知道除了实施时的整体逻辑之外，我还可以使用什么逻辑来防止同一用户重复投票并防止垃圾邮件。

我将存储它们的表的架构：

到目前为止，我想出了这些要点：

• 确保用户已登录
• 确保发送有效的帖子 ID 和有效的投票类型
• 确保在 POST 之后，用户之前没有投票过
• 创建哈希的代码不能包含动态信息，例如用户代理，因为用户可能在不同的浏览器、不同的操作系统上，对吧？

更新：

“SO 可能正在使用登录 cookie 来识别用户。” - 安德鲁

有人可以演示如何做到这一点，或者更具体地说，提供一个示例，说明如何fkey生成 32 位字母数字字符串？

问题：

• 因为我没有用我的 XHR 代码在任何地方发送实际的用户 ID，这是否意味着我必须更新我的表模式，以便我可以存储fkey而不是说user_id? 可能必须对每个用户都是唯一的fkey，因此我可以查询投票表中是否有一行具有任何 fkey。

将不胜感激任何实施类似技术的人的提示或见解。

最近使用谷歌网站管理员工具，我发现了以下（未找到）抓取错误

谷歌搜索后，我发现这可能是一种新的垃圾邮件方式。

但是等一下，从程序员的角度来看，我的网站是怎么回事？我做错了什么吗？有没有我目前看不到的安全漏洞？

更新：参考

http://blog.colnect.com/2009/12/new-spam-technique-warningthisisenglish.html

http://blog.colnect.com/2009/12/save-us-from-index-spamming.html

我希望验证一个文本框以检测粗俗并在我的 .NET 应用程序中阻止它们。是否有一个指导示例或教程来演示如何在您的设计中实现这一点，您可以与我分享，或者社区可以分享一些我可以在我的实现中使用的代码吗？

我正在为网站创建一个论坛，并计划实施“报告此内容”功能。

老实说，我不确定该功能有多有用（必要），因为发布需要一个用户帐户（由管理员创建），但该解决方案让我感兴趣。

简而言之，这就是场景：

对于所有用户，论坛上的所有（非限制）内容都将具有只读访问权限。对于身份不明的用户，将有一个回复按钮并报告此内容按钮。前者将继续要求登录，而我曾计划后者不需要，这样任何人都可以标记可疑或令人反感的内容。

因此，我面临的问题基本上是“机器人点击”，或者更确切地说是如何实现系统，以免被“机器人点击”愚弄。

想到了几个方法：

1）用户代理
2）在以任何方式做出反应之前需要几个标志（在预定义的时间跨度内？）
3）robots.txt
4）要求以第二种形式进行人工输入（验证码或“指定原因”）

我对他们的看法：

1）不可靠（作为唯一的解决方案）
2）这需要大量用户，这可能导致事件永远不会被触发
3）这可能是“正确”的方式，但只适用于那些尊重它的人
4）嗯，我讨厌验证码，并且要求一个理由可能会提高标准以保持功能有用

（高度开明的）社区必须与我分享哪些方法？

我目前正在开发一个网站，其中包含一个过滤器，该过滤器试图混淆它所服务的网页中存在的任何电子邮件地址。

就像现在一样，它将地址转换为图像。

我还看到了其他一些正在使用的方法；有些人将地址拆分为字符并使用生成的 javascript 将其包含在最终文档中，但这需要 javascript，所以在我看来它不是那么有用。好处是它可以用来创建一个有效的邮件链接。

另一种方法，与上述非常相似，使用十六进制表示法来标记电子邮件地址。不过，我真的不相信它会阻碍任何严肃的收割机。

其他人则利用人脑理解语言的能力，将@-symbol之类的字符替换为单词，或者将主机和用户名等分开。

我现在的问题是，当我不对图像中的文本使用任何失真时，使用生成的图像（其文件名不会泄露地址）对抗刮板的方法有多可靠？我应该更喜欢不同的方法吗？

作为延续：如果我不想要一个后备方法，以防图像创建由于某种原因失败，这将是最聪明的方法吗？

我想在我的网站上添加一个简单的联系表格，以便客户可以轻松地与我联系。

此表格将简单地通过电子邮件向我发送客户消息。

但是，我也想减少（不是，我不是说消除而是至少减少）垃圾邮件。

我已经研究过使用验证码，但最终，我不想妨碍客户填写额外的信息。

我可以在我的联系表中使用任何关于防止/减少垃圾邮件的简单方法的想法。

跨站点脚本 (XSS) 是一种通常在 Web 应用程序中发现的计算机安全漏洞，它使恶意攻击者能够将客户端脚本注入其他用户查看的网页中。攻击者可以利用被利用的跨站脚本漏洞绕过同源策略等访问控制。截至 2007 年，赛门铁克记录的所有安全漏洞中大约有 80% 是在网站上执行的跨站点脚本。

好吧，这是否意味着黑客在访问具有未转义输入的合法站点时制作了一些恶意 JS/VBscript 并将其传递给毫无戒心的受害者？

我的意思是，我知道 SQL 注入是如何完成的......

我特别不明白 JS/VBscript 怎么会造成这么大的伤害！我认为它们只在浏览器中运行，但显然损害范围从键盘记录到 cookie 窃取和木马。

我对 XSS 的理解正确吗？如果没有，有人可以澄清吗？

如何防止 XSS 在我的网站上发生？这似乎很重要；80% 的安全漏洞意味着它是危害计算机的极其常见的方法。