真匿名方案(回应RFC-056)
RFC-056 https://pincong.rocks/article/1359
随机值还是有办法探测,多注册几个号即可
延迟显示要增加一个表,很麻烦
匿名兑换券不仅要改表还要写UI,更麻烦
真匿名方案
选一个UID作为匿名用户 https://pincong.rocks/people/15
所有匿名发言都指向这个UID
防止恶意利用措施:
设置等级门槛
设置每日上限
每日被踩超过警戒线自动关闭匿名功能,第二天再开
从开发者角度来讲,这个方案是最好的,也是最简单的
可以删减大量代码,假匿名需要特殊处理,判断anonymous标记,到处都是 if ($val['anonymous']) ... else ...
这样的代码,维护起来特别麻烦
真匿名完美解决这个问题
随机值还是有办法探测,多注册几个号即可
延迟显示要增加一个表,很麻烦
匿名兑换券不仅要改表还要写UI,更麻烦
真匿名方案
选一个UID作为匿名用户 https://pincong.rocks/people/15
所有匿名发言都指向这个UID
防止恶意利用措施:
设置等级门槛
设置每日上限
每日被踩超过警戒线自动关闭匿名功能,第二天再开
从开发者角度来讲,这个方案是最好的,也是最简单的
可以删减大量代码,假匿名需要特殊处理,判断anonymous标记,到处都是 if ($val['anonymous']) ... else ...
这样的代码,维护起来特别麻烦
真匿名完美解决这个问题
256 个评论
吼啊,不过民吁日报就不能继续保持神必了
不希望有每日匿名次数上限,全程匿名是坠吼的
这样的真匿名方案很不错,但要改一个用户只能回答一次的代码,上限仍然有问题。
另一种真匿名方法是每个问题或文章下面,为每个选择匿名的用户生成一个随机名称,类似(匿名A,匿名B),这样能区别来自同一个用户的留言,但又能切断跟主帐号的关系。
PS 今天新加的类别tag很不错。
另一种真匿名方法是每个问题或文章下面,为每个选择匿名的用户生成一个随机名称,类似(匿名A,匿名B),这样能区别来自同一个用户的留言,但又能切断跟主帐号的关系。
PS 今天新加的类别tag很不错。
匮名用户
高仿
既然可以低成本注册小号,何不取消匿名
https://pincong.rocks/article/1386
用积分威望兑换小号,取消匿名怎么样
用积分威望兑换小号,取消匿名怎么样
另外用匿名A、B、C等按顺序分配的匿名代号有个缺点,就是需要缓存表做用户映射,但这个映射表可以是每天清空一次。这样子同一个用户在不同日期匿名选择问题也会被分配不同的匿名代号。
由某个ID代发留言相当于站方替大号准备好了小号,免去了注册小号流程,大号依然不受惩罚。匿名券的提议只是为了提高滥用成本,如果放弃惩罚大号,那完全可以不用部署匿名券。
另外,上限和阈值是针对大号,还是针对代发账号?理论上针对代发账号才有免除暴露大号的意义,但如此一来相当于限量供应,攻击者有机会霸占资源。
当然了,还是可以通过注册小号绕过上限和阈值。“既然可以低成本注册小号,何不取消匿名 ”
另外,上限和阈值是针对大号,还是针对代发账号?理论上针对代发账号才有免除暴露大号的意义,但如此一来相当于限量供应,攻击者有机会霸占资源。
当然了,还是可以通过注册小号绕过上限和阈值。“既然可以低成本注册小号,何不取消匿名 ”
至于匿名发言是否可以被点赞、点踩,我觉得各有好处,可以再深入讨论。
如果用每日一清的匿名缓存表,那么赞、踩对大号的影响就局限于言论发布当日,一旦匿名映射缓存清空之后,那些就跟大号脱沟了。这样匿名只承担Limited Accountability
至于这个‘当日’,由于大家时区不同,可以再仔细考虑。我觉得以东八区为准,大家都装作在墙内,有利于保护墙内用户。
完全真匿名还是会有很多代码,要实现每日数量限制等功能,也需要一个本地的匿名缓存表来计数。所以实施起来跟每个问题/回答下面自动生成匿名代号应该差不多。
如果用每日一清的匿名缓存表,那么赞、踩对大号的影响就局限于言论发布当日,一旦匿名映射缓存清空之后,那些就跟大号脱沟了。这样匿名只承担Limited Accountability
至于这个‘当日’,由于大家时区不同,可以再仔细考虑。我觉得以东八区为准,大家都装作在墙内,有利于保护墙内用户。
完全真匿名还是会有很多代码,要实现每日数量限制等功能,也需要一个本地的匿名缓存表来计数。所以实施起来跟每个问题/回答下面自动生成匿名代号应该差不多。
不恰当的小号注册行为的本身也会透露出部分指纹信息, 比如惯用手, 键盘布局等, 还是直接允许真匿名对用户来说更简单也更安全. 不过如何确认品葱不进行后台记录是个问题, 从这个角度来说注册小号更有优势.(前提是注册小号的行为本身不会透露出指纹信息)
你国社工技术已经这么高级了吗,能靠键盘布局就把人肉出来(滑稽
愚妄无知
新注册用户
拉网排查确定目标的时候,一丁点信息都能确定嫌疑
没明白。
通过真匿名方案解决RFC-056去匿名攻击是把匿名发布行为指向特定uid,那么设置的是什么上限?为什么要设置上限?
RFC-056去匿名攻击的原理是“对匿名发布行为的评价会以公开的方式在实际账户上体现”,而真匿名就是去除“匿名发布行为”与“实际账户”之间的关联,所以这个“上限”也不应作用在实际账户上。
那么这个“上限”到底是限制谁?限制什么行为?
通过真匿名方案解决RFC-056去匿名攻击是把匿名发布行为指向特定uid,那么设置的是什么上限?为什么要设置上限?
RFC-056去匿名攻击的原理是“对匿名发布行为的评价会以公开的方式在实际账户上体现”,而真匿名就是去除“匿名发布行为”与“实际账户”之间的关联,所以这个“上限”也不应作用在实际账户上。
那么这个“上限”到底是限制谁?限制什么行为?
以前写FirebirdBBS,匿名的实现也基本是这个思路。哈哈。
匿名的时候分数增减带随机延迟24小时,怎么样
说点社会工程学的事……
问:新买了2万的自行车,有什么好的锁能够防盗。答:不用锁最安全。
品葱也是一样。做大了早晚要应对各种各样的危险,保不齐哪天就被脱裤了。切断与身份相关的信息,随便玩玩就挺好。搞的越复杂,留下的马脚就越多啊。
问:新买了2万的自行车,有什么好的锁能够防盗。答:不用锁最安全。
品葱也是一样。做大了早晚要应对各种各样的危险,保不齐哪天就被脱裤了。切断与身份相关的信息,随便玩玩就挺好。搞的越复杂,留下的马脚就越多啊。
可以試用一下看看,不滿意再改回來就是了。
這樣討論下去,沒有盡頭。
這樣討論下去,沒有盡頭。
真匿名现在已经实现了?
测试匿名
支字头的妈终于被正义屠杀了,支持
匿名刷屏测试
匿名刷屏测试2
匿名刷屏测试3
匿名刷屏测试4
匿名刷屏测试5
匿名刷屏测试6
匿名刷屏测试7
匿名刷屏测试8
匿名刷屏测试9
匿名刷屏测试10
匿名刷屏测试11
匿名刷屏测试12
匿名刷屏测试13
这个改动很好,也没办法刷屏
匿名限制测试
@admin 能否解释一下多少踩才会禁止匿名?还是跟声望有关?
匿名刷屏测试
匿名刷屏测试1\
匿名刷屏测试2
匿名刷屏测试3
匿名刷屏测试4
匿名刷屏测试5
匿名刷屏测试6
匿名刷屏测试7
匿名刷屏测试8
匿名刷屏测试9
匿名刷屏测试10
匿名刷屏测试11
匿名刷屏测试12
匿名刷屏测试13
匿名刷屏测试14
匿名刷屏测试15
匿名刷屏测试16
匿名刷屏测试17
匿名刷屏测试18
匿名刷屏测试19
匿名刷屏测试20
匿名刷屏测试21
匿名刷屏测试22
匿名刷屏测试23
匿名刷屏测试24
匿名刷屏测试25
匿名刷屏测试26
匿名刷屏测试27
匿名刷屏测试28
匿名刷屏测试29
匿名刷屏测试30
匿名刷屏测试31
匿名刷屏测试32
匿名刷屏测试33
匿名刷屏测试34
匿名刷屏测试35
匿名刷屏测试
匿名刷屏再测试
匿名刷屏测试
匿名刷屏再测试
匿名刷屏测试
匿名刷屏再测试
匿名刷屏测试
匿名刷屏再测试
匿名刷屏测试
匿名刷屏再测试
匿名刷屏测试
匿名刷屏再测试
匿名刷屏测试
匿名刷屏再测试
匿名刷屏测试
匿名刷屏再测试
匿名刷屏测试
匿名刷屏再测试
匿名刷屏测试