情况:
- 网站内容受用户名/密码保护(并非全部受控,因为他们可以是试用/测试用户)
- 由于用户名/密码限制,普通搜索引擎无法获取它
- 恶意用户仍然可以登录并将会话 cookie 传递给“wget -r”或其他东西。
问题是监控此类活动并对其做出响应的最佳解决方案是什么(考虑到网站政策不允许爬行/抓取)
我可以想到一些选择:
- 设置一些流量监控解决方案来限制给定用户/IP 的请求数量。
- 与第一点相关:自动阻止某些用户代理
- (邪恶:))设置一个隐藏链接,当访问该链接时,用户会注销并禁用他的帐户。 (大概普通用户不会访问它,因为他不会看到它并单击它,但机器人会抓取所有链接。)
对于第一点,您知道已经实施的良好解决方案吗?有什么相关经验吗?一个问题是,对于非常活跃但人类的情况,可能会出现一些误报。
用户。
对于第三点:你认为这真的很邪恶吗?或者您认为它可能存在任何问题吗?
也接受其他建议。
我不建议自动锁定,并不是因为它们一定是邪恶的,而是因为它们向恶意用户提供了他们触发传感器的即时反馈,并让他们知道不要对他们签署的下一个帐户做同样的事情跟上。
并且用户代理阻止可能不会有太大帮助,因为显然用户代理很容易伪造。
您能做的最好的事情就是监控,但是您仍然必须询问如果检测到恶意行为您将做什么。只要您拥有不受控制的访问权限,您锁定的任何人都可以使用不同的身份再次注册。我不知道您需要什么样的信息才能获得帐户,但例如,仅姓名和电子邮件地址不会对任何人构成太大障碍。
这是典型的 DRM 问题——如果任何人都可以看到该信息,那么任何人都可以用它做任何他们想做的事情。你可以让它变得困难,但最终如果有人真的下定决心,你就无法阻止他们,并且你可能会干扰合法用户并损害你的业务。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
