考慮すべき点は次の 3 つだと思います。
- どのくらいの頻度で、誰がアカウントを作成できますか?
- どの機能をどのように保護する必要がありますか?
- ユーザーは自分が信頼されていることをどのように確立し、いつ、どのようにその信頼を取り消すことができますか?
1. 新規アカウントの制限
あなたがすでに言及した最初のポイントは、キャプチャで(少なくとも一時的に)解決されました。Facebook と Google は、長い間、新しいアカウントを作成するために、携帯電話番号などの他の形式の検証可能な ID を要求してきました。他のサイトは紹介ベースのサインアップを使用しており、ユーザーが不正行為を行っている場合は、紹介元までさかのぼることができます。また、多くのサイトでは、作成できる新しいアカウントの数を制限しています。
2.機能保護
登録ユーザーへのアクセスを許可するだけでなく、追加の保護が必要な機能の基準は何ですか?
たとえば、誰かの個人情報 (名前、連絡先情報など) を公開するものはすべて、隠しメール ( craigslist、Source Forge、および多くのフォーラム システムなど) を使用しているか、ユーザーの承認を必要としているかにかかわらず、何らかの方法で制限する必要があります。その情報が他の誰かと共有される前 (Facebook の友達やプライバシー設定)。
また、これらの機能をどのように保護しますか? スロットル?Stack Overflow などのより強力な機能へのアクセスが遅れていますか? 行動パターンを分析し、虐待を特定するためのある種の機械学習?
3. プロアクティブ ダメージ コントロール
最後に、ユーザーが不正行為を行っていないことをどのように確認し、これらのタイプのユーザーを事前に特定するためにどのような手順を実行していますか?
たとえば、電子メールのしきい値を設定しても、ユーザーが送信するメールが多すぎる場合に電子メールをオフにするのではなく、送信を遅らせたり、モデレーション キューに入れたりすることができます。ユーザーが同一の電子メールを多数送信したり、電子メールを大量に送信したりする場合は、アカウントを一時的に停止するか、特定の機能へのアクセスを無効にすることを決定できます。
もう 1 つの重要な考慮事項は、正当なユーザーのアカウントが侵害された場合に何をするか、それらのアカウントを特定してロックダウンし、最終的に復元するためにどのような行動を取るかということです。
攻撃への対処
これらの出来事に対する一般的な最初の反応は、ダメージコントロールを行い、すぐに混乱を片付けることです. しないでください。ログとデータベースのバックアップを作成し、ユーザーを削除するのではなく無効にしてから、クリーンアップを実行します。ほとんどすべての虐待は特定のタイプのパターンに従います。このパターンを特定し、理解し、防御するには、残されたデータを調べる必要があります。
明らかに、問題のあるアカウントまたは攻撃方法 (たとえば、電子メール システムを無効にする) を無効にすることによって、すぐに繰り返される攻撃を防ぐ必要もありますが、データの破棄には注意してください。