3

ユーザーがアカウントを作成して画像をアップロードできる大学向けの Web を開発しています。画像は非公開で、アップロードした人だけが見ることができます。たとえば、クラウド ファイル システムのようなものです。

各ユーザーは 500MB の無料アカウントを持っています。私は Amazon S3 を使用して画像を保存しています。つまり、ストレージにはコストがかかります。

ボットが何百万 MB もアップロードしないようにするにはどうすればよいですか? ボットが何百万もの新しいアカウントを作成し、ユーザー エクスペリエンスに影響を与えることなく、アカウントごとに 500 MB をアップロードすることを回避するにはどうすればよいですか?

一方では、変換率に悪影響を与えるため、登録フォームに CAPTCHA を絶対に入れたくありません。一方で、ボットが何百万ものダミー画像をアップロードするので、何千ドルも払いたくありません。

Dropbox や Google Drive などがこれ (ボットによってアップロードされたコンテンツ) に苦しんでいるかどうか知っている人はいますか? 私はそれについて何も見つけることができなかったので、それは問題ではないようです。私が読むことができたすべてのスパム関連の問題は、フォーラムで取り上げられたスパムだけでした。それも理にかなっています。フォーラムのスパムは、他のユーザーが読むことができます。Dropbox や Google Drive などのサービスのスパムは誰にも届きません。それにもかかわらず、私はコストの驚きを避けるためにそれを保護する必要があります.

4

3 に答える 3

1

私が見る限り、CAPTCHA を使用せずにこれを行うことができます。

  • 特定の悪用パターン (同じ IP が大量のデータをアップロードし、新しいアカウントを繰り返し作成する) を警告する監視システムをセットアップします。
  • これらのパターンに従うユーザーを抑制します。これにより、プロセスが無価値であることに気づき、無意味になることが期待されます。これが失敗した場合は、それらのアカウントを無効にし、何が起こっているのかを説明するために、その所有者にメール/会話をしてもらいます.
  • あなたの大学のシステムだと言っているので、悪用された場合に備えて、ユーザーに在籍証明書 (大学の電子メール アドレスなど) を提供してもらいます。
  • この禁止された使用法を使用条件で明示してください。

もちろん、十分に賢いボットであれば、これらすべての問題を回避できます。

より高度なソリューションとして、通常と異常な使用パターンを学習し、その情報を適用して悪用者の可能性を判断する機械学習または AI を試すことができます。

于 2012-09-22T00:36:21.883 に答える
1

私はお勧めします:

  1. メールを使用してユーザーを登録させる
  2. 1 つのメールに複数のアカウントを許可しない
  3. 登録確認メールを送信し、「未確認」アカウントを短時間 (例: 3 日) 後に無効化します。

私の知る限り、Drupal は、この種のコントロールをすぐに使用できるか、ほとんど手間をかけずに (そしてプログラミングなしで) 埋め込みます。

これですべての問題が解決するわけではありませんが、実際には、ボットによる悪用のリスクが軽減されます。

于 2012-09-22T08:48:38.893 に答える
0

登録が必要だとおっしゃっていたように、この問題に取り組むには 2 つのポイントがあります。ボットが登録されていないことを確認するか、アップロード数を制限することです。

私は個人的に両方のポイントを使用します。ユーザー サインアップの場合、ユーザーが電子メール アドレスを入力し、リンクを含むメールを送信し、このリンクをクリックした後にのみアカウントをアクティブ化する必要があるログイン フォームを設計します。または、サインアップ時にユーザーに簡単な数学の問題を解いてもらいます。

2 番目のポイントとして、ユーザーごとのアップロードされたバイト数と時刻を保存できます。次に、1 時間あたりに許可されるアップロード使用量にクォータを設定できます。たとえば、1 時間あたり 10MB を超えてアップロードすることはできません。ユーザーがこの制限に n 回以上到達した場合、そのユーザーのアカウントを無効にすることができます。

そして: システムを設定し、警告し、監視します。たとえば、アクティブ化されていないユーザーの数を監視したり、アップロードの量などを監視したり、これらが特定のしきい値を超えた場合にアラートを設定したりできます。

上記の方法は完全ではない可能性があり、おそらくすべてのボットをブロックするわけではありませんが、少なくともボットが不要なデータをアップロードするのをはるかに困難にします. また、これらの方法は非常に単純であるため、プロジェクトを開始して、これが本当に問題であるかどうかを確認できます。また、ボットにデータをアップロードさせると、少なくともアラートを受け取り、後でより良いソリューションを発明することができます.

于 2012-09-21T13:35:48.217 に答える