- 主题:麻烦能把 下次自动登录 这个选项给修好么?
目前用的是www的访问,每间隔一段时间不浏览,就掉出来了,选择都2020年了,都醉了
看到你说的那些问题,能不能简单处理一下
1、撞库老账号问题:把用户账号密码强度调整一下策略,对目前在使用的账号要求更改密码强度达标的;
长期未使用的账号没去修改密码策略的,临时性冻结登录,要求必须修改达标
2、注册新账号:请使用极验之类的服务,别使用腾讯的这个防水墙,真心做的不咋地(我们产品也用过);
增加一下新账号的注册验证机制,验证码+手机号,请配套一下
3、注册的新账号,在发帖的初期,也可以有验证码配套的,但是你们以前的那套发帖验证码真心是烂,拦住的都是正常用户,拦不住的都是机器(我们公司之前网页产品技术选择的方案也是这个,验证码被破,就找一个更复杂更难辨别的,完全不过脑子想用户怎么办)
4、单用户但单位时间内发帖数量,超过某个值,直接先发后审即可
【 在 KCN 的大作中提到: 】
: 可以去sysop看看,session掉线问题一直都在。唯一不掉的只有www2,用了个frame定时刷页面。但因为定时刷页面不掉线,把session挤爆了,后来就取消了。
: 记住登录那个按钮是设置cookie时间的,依稀记得是通过把密码设cookie里,但很早就因为安全性取消了。
:
: ...................
--
FROM 220.181.190.*
不至于吧,我在一个极验的群,之前我们产品我打算用的,后来因为找到其他的解决方案了,就没去采购他们的产品,如果需要,我可以私信一下对方的销售的vx
另外,密码撞库的问题,这就没辙了,只能是你们的登录策略方面需要做一些防范了,比如隐藏用户名,只显示昵称,水木应该是位数很少的用户名外显的,主要是太古老了
或者针对撞库的进行防范,肯定不是所有的用户都会弹验证码的,有那种安全机制的,触发到了才会弹窗
ps:QQ的防水墙,应该在后台可以设置的,就是不需要每次必须弹验证的,有安全级别的,可以设置成安全的不弹验证码的
【 在 KCN 的大作中提到: 】
: 赞,英雄所见略同。
: 除了极验证注册了没下文。不知道他们销售是不是嫌水木太穷。其他的其实都有做了。
: 密码那个已经不是试简单密码了,就是拿其他密码库不断的试
: ...................
--
FROM 220.181.190.*
我们产品是App和网站都有的,App端我们利用了数盟的判断手机是否真机来进行拦截,非真机的直接拦截掉了;
真机的情况下,会进行单个设备单个时间内发言的数量的判断,同时对单位时间内同一设备注册的账号数量也进行限制和控制;
因为我们封禁的时候,是拉黑账号+手机号+设备一起的,如果任何一个有问题,都会自动进行反查找到相关设备和账号进行拉黑,因为账号可以注册很多,手机号黑产也很多,但是真机设备是有限的;
网站这块的,我们统一都进行了等级低的直接验证码,等级高的都是先发后审机制的(因为我们的网站用户少,基本上都在App上);
撞库这块我不是太懂,但是理论上所有的撞库登录,应该都是依靠账号+密码进行的,这块理论上在登录这块可以做防范强一些即可,qq的验证码那个可以开启最强的安全机制在登录哪里就可以了,也就是单位时间内同设备同ip做了很多登录操作,会出极其复杂的验证码的;
你们可以对库里面目前已经有的账号密码复杂度不够的,都统一冻结一次,然后要求简单密码的都强制修改后才能登录;也可以考虑账号登录必须绑定手机号码+微信验证一次,也就是每个账号在首次PC上登录的时候都必须绑定1个手机号码,且同时微信绑定unionid,利用微信的unionid来做安全性判断一次
PS;积分不太够,很多版块没法去,求赠送积分一下,谢谢啊~
【 在 KCN 的大作中提到: 】
: 其他解决方案是啥?看看能不能抄一个
: qq那个已经设了自动检测快捷登录。
: 撞库那个对方压根不管用户名,直接甩过来
: ...................
--
FROM 220.181.190.*
哈哈,感谢感谢
【 在 KCN 的大作中提到: 】
: 好的!积分+500
--
FROM 220.181.190.*