这是一个创建于 2570 天前的主题,其中的信息可能已经有所发展或是发生改变。
楼主想做一个高匿名的论坛,就是服务器除了正文不存储任何发帖者信息只作为展示用。不需要验证手机号,以前做过一个草样,纯匿名,但是很快被广告屠版了
遇到的问题
1。身份冒充的问题,一个楼主开了个新帖,因为大家都是匿名的,谁都可以在回帖中冒充楼主。开头尝试,每次发帖结束后,都返回一个 64 位随机标识,以楼主身份发帖必须附上这个 64 位的标识(对他人不可见),系统才能标注为楼主。但是用户极度不友好。浏览器 Canvas 之类 WebRTC 之类指纹,是肯定不能用的,这就会降低匿名性。
求解决方案
2。水贴或者垃圾贴的堵截。开头使用第三方 Google 验证码,后来发现第三方验证码导致匿名性降低。因为每一次访问身份都是独立的,服务器也不储存 ip 对应,使得防水贴很难,之前有使用一个 js 来计算 sha256 来验证合法性
具体逻辑:发帖后,服务器返回一个任意字符串,浏览器本地计算 sha512 ( sha256 (字符串+用户随机字符))小于某个值才行(此点参考了 btc ),返回这个值,服务器做一次验算来判断是否有发帖权限,甚至可以通过改值来控制发帖间隔
遇到问题:很多高匿名用户用的浏览器( tor 之类)默认对 js 就是全局不信任不执行,很难去做 html 上的验算
大家有什么建议或者有什么觉得需要改善的吗
第 1 条附言 2018-10-30 18:31:09 +08:00
之所以不用用户账户层面匿名,我想达到的目的是,即使这个系统所有权限,落到了相关部门手里,对于数据库还是匿名的,就是数据库,日志,系统层面都不储存任何用户特征。<br/>
js 和 cookie 在绝大多数高匿名浏览器内应该都是默认禁用的
js 和 cookie 在绝大多数高匿名浏览器内应该都是默认禁用的
 | 1 whileFalse 2018-10-29 21:34:08 +08:00 lz 了解基于 query string 的 cookie 吗? |
 | 2 iConnect 2018-10-29 21:52:34 +08:00 via Android 匿名的程度越高,人性黑暗越凶猛,除非你再设置一种对抗黑暗的机制或力量。 |
 | 3 abeholder 2018-10-29 22:53:32 +08:00 可以在每个新用户第一次进入站点时前端就生成身份标识存入 localstorage, // localstorage.set('user', '...') 然后在发帖的时候将其传给服务端,服务端将该标识与 /t/{tid} 进行绑定。// 持久化到数据库 然后回帖什么的也都需要该标识,后端通过判断进行渲染标识该层是否为楼主或其他用户。 这样的话,至少是不能冒充楼主了 ~ 假设论坛帖子是这样的形式 /t/{tid} 然后在开新贴的时候将 tid 与当前用户 然后每个发帖的用户 |
| 4 abeholder 2018-10-29 22:54:43 +08:00 QAQ,发出去没看到下面还有一段 ,请无视楼上空白后的内容 |
 | 5 freed 2018-10-29 23:00:34 +08:00 匿名,和拥有自己独立的账号,不冲突吧? 注册发帖不设置任何需要验证的东西 登录账号除你以外他人不可见,随机分配昵称头像. 这样也是匿名了吧~~ 话说..我想起了以前流行的网络聊天室.. |
 | 6 kslr 2018-10-30 00:56:07 +08:00 IRC |
 | 7 msg7086 2018-10-30 05:12:38 +08:00 如果不存储用户的辨识信息,那么这个用户所做的违法事件将不得不由你来承担责任。 在做这样一套匿名之前,你准备好承担其中的法律风险了吗。 |
 | 8 C2G 2018-10-30 07:45:53 +08:00 via Android A 岛那样的呢?或者里岛? 纯匿名的话参考网络聊天室 |
 | 9 RiESA 2018-10-30 08:51:50 +08:00 我觉得可以试试看只对用户层面匿名,有账号,但是都看不见名字,再给楼主加个特殊的标记就行了 |
 | 10 sky101001 2018-10-30 19:18:54 +08:00 via iPad |
Select Language