我有一个上传表格,我们在内部使用它来允许客户上传他们的宽带设置的照片(作为诊断检查的辅助),我目前正在考虑安全问题。
如果在 X 分钟内上传超过 5 次,我最初想到了一个精心设计的 IP 禁止解决方案,但当我想得更多时 - 我不需要那个。蜜罐技术还有效吗?(通过 CSS 隐藏表单输入,如果有条目则作为垃圾邮件处理)。
您对尝试和减轻尝试上传假照片的用户的最佳方式有何看法,我想到了一个简单的 IP 禁令,这不会让机器人受到攻击,因为他们倾向于在每次攻击时更改 IP,但它会阻止大多数普通用户.
请记住,上传后的照片对用户是不可见的,它们仅对我们的工作人员可见,在登录脚本后面。我不想在这样一个简单的系统上过分强调安全性——但我不想让普通用户很容易惹到我们。
虽然这是一个自以为是的问题,因此它不一定适合 StackOverflow,但我将为此提供我的个人意见/建议:
我建议将临时 IP 块和 Google 的 reCAPTCHA 结合使用(正如 Samuel 在评论中提到的那样)。虽然这对用户来说是一个障碍,但它也是对抗自动垃圾邮件和自动上传的最有效方法之一。结合 IP 块,这将防止垃圾邮件机器人和恶意/烦人的人类用户,他们只想通过上传大量图像来淹没您的网站。
此外,请记住,reCAPTCHA 已经从不得不输入颗粒状字母和数字的过程中得到了很大的进步。如今,用户只需单击一个复选框,偶尔选择一些包含某些项目/对象的图像。这仍然是一个障碍,但对于人类用户来说,这不会超过 5-15 秒(如果他们必须选择图像的话),它会阻止几乎任何自动机器人。
此外,我建议不要使用蜜罐技术。隐藏字段的工作原理是机器人仍然会填写隐藏字段,因为它不会运行 JavaScript,但这已经发生了很大变化。虽然仍然有一些机器人可能会喜欢它,但可以很容易地编写运行在网络浏览器上的机器人(它将执行 JavaScript 以隐藏“蜜罐”字段)并且只与页面上的可见元素交互。因此,这可能会阻止一小部分机器人,但我现在怀疑它的有效性。
当然,如前所述,这是高度自以为是的,因此您的里程可能会有所不同,其他用户可能会有不同的意见。