5chの荒らし対策考えるスレ
■ このスレッドは過去ログ倉庫に格納されています
どのスレも>>1にツィッターのハッシュタグがつくようにし、 ツィッター側で全員やり取りをする。 (たとえばスレッドのURLの番号が123456789なら#123456789がハッシュタグ) で、そのハッシュタグでつぶやかれたものを時系列順に表示するページを5chはスレッドの下に表示する。 これなら荒らしはツィッターを荒らすしかなくなり、FBIにつきとめられて莫大な賠償を請求される。 セッションID見てレートリミットもCloudflare側で掛けられる 同じ端末で連投する荒らしの対策になる これと ・スーパーボットファイトモードを足切り設定にして使う ・外国からもDDoSが来てる場合、Adaptive DDoS Protectionで特定の国をブロックする で荒らしもDDoSによる高負荷も防げるだろ しらんけど 高度なレート制限のご紹介 https://blog.cloudflare.com/ja-jp/advanced-rate-limiting-ja-jp/ ユースケース - レート制限をアプリに統合してAPIを保護 セッションIDに基づいてリクエストをカウント。 APIトラフィックは認証済みの場合が多く、セッションをクッキーやヘッダー(たとえばx-api-key)、またはクエリー値で追跡することができます。 高度なレート制限によって、リクエスト中のIDの位置を定義し、IPにかかわらず、同一セッションに関連するリクエストの数を追跡できます。 これは、機密データ(製品価格、航空機乗客データなど)をスクレイピングする分散型ボット攻撃への防御策として有効です。 APIキーがアカウント毎に紐付けられてればいいんだけどね 浪人付けて荒らしてるみたいなケースには有効だけど そうじゃなければ一つの漏れたキーで無限にセッションIDが発行されるから アプリからキーを漏らさない対策をしないと意味がない >>373 APIキーってまだあんの? 山下の乱で 専ブラ開発は誰でもできるようにするとかで無くなったと思ってた いずれにしてもAPIキー取り出せないようにするってのは不可能じゃね セッション作成はIPでレートリミット掛けるしかない フィンガープリントで端末を識別するのは難しい気もするが セッション作成をレートリミットする際の巻き添え防止にはなるかも IPv4だけでレートリミットすると 複数人が同じアIPv4アドレス割り当てられた場合に巻き添えになる とりあえず今回は激重なだけで 巻き添え規制なかったのはよかった 今まで(talk分裂以前)はなんやったん? >>374 今はAPIキーは使われてないけど仮定の話ね >セッション作成はIPでレートリミット掛けるしかない ってのはMonaKeyシステムが動いてた時にやってたやつだと思うけど 健全な100人が100個のIPアドレスからSID発行を求めてるのか 荒らしの1人が100個のIPアドレスからSID発行を求めてるのかを区別するのは不可能だから SIDで管理するってのは結局秘匿されたAPIキーとセットじゃないと成り立たんわけですよ Webブラウザの動画再生DRMみたいにどうしてもアプリ側に鍵を委ねなきゃいけない用途はあって 例えばGoogleのWideVineがそうだがこれは ・プラットフォーム・ブラウザ毎にキーを埋め込んだバイナリモジュールを提供する ・モジュールはアンチデバッグな実装になっている ・モジュールはアプリとは独立して更新できる ・定期的に(あるいは漏出が確認された場合は即座に)モジュールの更新を行い古い鍵を使ったアクセスを無効化する のような運用を行うことでキーの漏出対策を行っている 結局荒らし対策は、まずアカウント制にして、 アカウントの大量取得に対する対策を考えることに切り替えろってことだな つまり匿名掲示板をやめろ=5ch閉鎖だな Talkのまわし者か? >>378 広義の匿名はやめなくていいんじゃね? 表示は今のままで 5chに対して非匿名であれば >>379 メールアドレス一つでも個人情報保護法の対象だから5chの運営がそんな面倒なことに手を出すとは思えんよ 外国の謎の組織で鯖も外国だから日本の個人情報保護法なんて知らんと言い切ってやるのも面倒事が増えそうだし 全板で旧vip931を導入するしかない 書き込みにはログインが必要だが メールアドレスは共通鍵暗号で暗号化して記録して 90日後に暗号鍵を破棄するとかでどう? Crypto-shreddingってやつ ただし荒らしたらBANされ 1年間は荒らしたメールアドレスのリストに メールアドレスが保存される スクリプトって実行する時間が決まってないのね 起きたらスイッチ押す的な感じで荒らしてるのか 浪人での意味不明BAN問題があるのに、メールアドレスで理由なしBANがあっても対応はしてもらえない 人も金も足りない組織にそんな仕事が増えそうなことをやるメリットはない >>378 アカウント制だからといって、アカウント名を表に出すわけではない 内部的に管理に使うだけで、それは今までも忍法帖や MonaKey でやってきた >>381 メアド必須である必要はないが、Uplift や BE の登録ではメアドを使ってる 俺はメールアドレスじゃなくて携帯番号を登録制にすればいいと思う メアドは容易に変更可能だが携帯番号の変更は少し手間が掛かる 何度も番号変更を申請したらオレオレ詐欺を疑われる可能性もある >>389 別のスレでも書いたが、BE登録に電話番号認証(かGoogle・Appleアカウント連携)を必須にし、botで荒らされている板はしばらくupliftか認証済みのBEのどちらかを持ってないと書き込めないようにするのが一番手っ取り早いと思う 大半の専ブラはBEログインに対応してるし >>389 そこまでしたら一般ユーザー誰も使わんやろ 匿名性の明確な排除でそれでも使いたいってユーザーはあまりいないんじゃないかな スクリプトのワッショイ見るとみんな家庭回線なんよね PC版のJaneStyleのバックドアから爆撃してるかもね 試しにJaneStyleをdenyしてみてほしい >>393 JaneStyleにバックドアがあるという証拠は? 今回は普通にbotnet使った荒らしだよ FAXは2年以上前から同じ手法使ってる 山下と言ってるのはデマに乗せられた情弱 >>392 新避難所として会員制鯖が1個あっても良いんじゃね >>394 何が何でもJane関係をスクリプト荒らしにしたいの完全に病気だよね 何か確証あるならまだわかるけど… ひらがな画像で認証がいいよ 外国人にはハードル高い この前の21時~書き込めませんとかにしなくなったか >>393 そんなことないよ 俺がワッチョイでIP集めただけでも わりと大きい企業や病院あった ▼ reCAPTCHA 認証は、去年か一昨年に荒らし対策で[爆サイ]に導入されましたが、 一部の荒らし達は突破する方法を模索し成功。 恨みというか執念というものは恐ろしいね・・。 https://makefri.jp/web/7795/ https://media.tricorn.co.jp/form/security/1650/ reCAPTCHAの説明より爆サイで突破成功したソースが欲しい 一部とはどれくらいなのか?どういう方法で突破したのか? 一部に突破できる人がいたとしても、まだ十分有効な認証に思うが ほんとスクリプトいい加減にしてほしい 他のアニメは見ないからアニメ板全体なのか分かんないけど サザエさんのスレにもいた 最初ただの誤字が合っただけだろて思ってたが同じなんじゃないかと最近思い出してきてる…なぜか reCAPTCHA 認証は一時的に突破できようが 回数もパターンも相当あるから簡単じゃないよなあ というか人間の判断すら困難なパターンすらあるし >>389 ,390 http://agree.5ch.net/test/read.cgi/c/operate/1394793926/855 > 855 Grape Ape ★ 2014/03/16(日) 11:47:37.23 ID:???0 > Writing by SMS is a good idea for telephones. My neighbor has a large SMS company. > I will discuss this with him. http://agree.5ch.net/test/read.cgi/c/operate/1394956912/833 > 833 Grape Ape ★ 2014/03/18(火) 08:11:35.44 ID:???0 > That is not an immediate fix. The SMS system is possible. I will be meeting again with them > This week, the earliest an alpha version could be available is in 1-2 weeks. この後、高いから無理って言ってた気がするけどソースが見つからない >>403 〉爆サイで突破成功したソース 〉一部とはどれくらいなのか? 爆サイのカテゴリを隈無く見ていれば、短時間で同じ文体の連投があるので判ります(だいたい21時〜03時ぐらいに現れます) 〉どういう方法で突破したのか? 知りません。 〉まだ十分有効な認証に思うが そう思います。 >>376 あたりまで具体的で専門的な話できてたのに もう何回も通った話してる無知入ってきたな・・・ せっかく不具合スレと別けたんだから雑談レベルの話は他でやれよ ●●が犯人とか、今頃reCAPTCHAとか 今はもうCloudflare Turnstileだろ 突破は2Captchaね君1番遅れてるから爆サイ帰っていいよ 板を変えるのはどうでしょう? 詳しくないのですが 規制議論 https://agree.5ch.net/sec2chd/ DDoSとDRDoSの判別も出来ないヤツが何を言ってんだかw失笑w 皆さん御存じのとおり、先日 5ch は [ Cloudflare Turnstile ] の導入に失敗?したのだが、 その後、解決に至らず・・。もう打つ手なしか? https://www.cloudflare.com/products/turnstile/ >>413 あれってスーパーボットファイトモードじゃね Turnstileのウィジェットは任意のページに埋め込み出来るけど スーパーボットファイトモードは本来のページに入る前にTurnstileウィジェットと同じ認証が出てくる感じ Cloudflareが提供する高精度のボット対策ー機能や設定方法をご紹介 - アクセリア株式会社 https://www.accelia.net/column/cdn-knowledge/4393/ このページだとCAPTCHAと書いてあるが 現在はCAPTCHAは使って無くて Turnstileに一本化している 設定ミスなのか スマホでPC版サイト表示するとリダイレクトループになる不具合とか dat直接取得のURLも認証画面が出てきて専ブラ使えない不具合とか 色々おかしかったな あれはUnder Attack Modeだと思った ダッシュボードからスイッチ一つで有効にできる ボットの可能性高いリクエストは 認証画面表示ではなくブロックにも設定できるけど 人間も間違ってブロックするかも ここでゴチャゴチャ言っても導入なんかされないだろw むしろ変なプライドでここで挙げられてる対策は避けるまであるだろ >>414 〉ボットのスコアで更に細かい設定を行う場合には Cloudflare の「ボット管理機能」(有償機能)を使用することで対応できます。 〉ボット管理機能を利用すると、ファイアウォールのルールまたは Workers を使用して、ボットのスコアに対してアクションを実行できるようになります。 https://www.accelia.net/wp/wp-content/uploads/2022/04/image3.png ⇒コレ、手動でやらないといけないの?? >>416 スーパーボットファイトモードを 全員に認証画面を表示する設定で使うのと同じ効果がある感じ? >>419 Cloudflareだけで設定できるなら 5ch側の変更不要で簡単じゃん? >>418 ジムんとこのエンジニアは日本語読めない可能性が高いから何を書いても構わんだろ https://blog.cloudflare.com/ja-jp/super-bot-fight-mode-ja-jp/ 〉このスコアはユーザーが他の属性とペアリングできて、さらに強力な保護力を生み出すことができます。 〉もちろん、これには異常検出も含まれていて、当社はサイト上の外れ値のパターンを把握するために、これを利用します。 なるほど、他の属性とペアリングできるんだ。 >>414 つまり、スクリプト対策のつもりで入れたのではなくて、 重くしてる何らかの攻撃を防ぐつもりで入れたってことなのかな スクリプト対策なら、書き込みに対してだけでいいので >>424 何もわかってない運営が、DDoS対策のええボタン見つけた、ポチッ、うわぁー専ブラからの書き込みが無くなったー、オフ の流れだからな その後ジムはCloudflareが悪いと言い出して草 >>399 あーなるほど、考えてみるとたしかにそうだ 原理的に対策不可能ですしな ログイン制にしないと解決不可能だし スクリプトで操作されてる端末に問題があるからね。 いっそのことredditみたいにログイン制にしてしまうしか PCゲーム板がスクリプトの立てたスレで埋め尽くされたんだけど いつか復旧してくれるのかしら >>402 ReCAPTCHA認証やCloudflareだとPovo2.0みたいな低速回線からは書き込めなくなっちまいそうだな。 ぬこブラウザから書いてるガラケー使いも…。 ガラケーは例外扱いすればいいと思うけど、そこまでやるかって問題はあるな てか、今ガラケーで書き込めるのかな? IPv4 で判定してるから、中継サーバが IPv6 に対応してたら、 ガラケーと判定されなくなってたりはしてないかな ジム「(無料プランで)彼らは・・失敗した。とても残念だ。」 何か対策入った? スクリプト来てたみたいだけどすぐに消えてる ネ実がスレ立て規制無いのか 同じの立てまくって流れてる ワイが30個くらいレス書いたら スプリクト手動発動してる気がしてならん UPLIFT使ってるんだけどな 連投規制とか止めてるから連投はあるいみシステム的には正常なんだね なんで連投規制止めたんだろ? mateがぁゃιぃとかブツブツ言ってたやつ、スプリクトが来てるぞーw そーいえば今日は統一教会に解散命令出たり山神様の裁判手続きがあった日 淹れはあまり統一には興味無いからニュース見るだけで十分だが 自然災害や有事の際は荒らされたらマジ洒落ならん 普通の荒らしも湧いてる シルクロードと遣唐使を知らないんだって。 荒らすならもうちょっとマシなネタ考えろや日本人ちゃうわ >>450 日本人でも最近のボキャ貧ぶりは酷いぞ 最新で、「業として〜」を"ぎょう"として〜と読んでる奴もいた とうぜん"なりわい"として〜が正しい 辞書見たら、ぎょうとして〜の読みも間違ってないが 慣例でなりわいとして〜と読むものと思ってた ニュース速報と東アジアnews+にも荒らし ビジネスnews+はスレ一覧がぶっ壊れてて荒らされてるか不明 良い加減、威力業務妨害で訴えたら? 意味が通らない書き込みだけならまだしも、グロ画像も貼ってるから通るでしょ。 スプリクト対策にお手上げなら 書き込みに認証付けるしかないでしょう 古い専ブラは見るだけで書き込みはchoromeでやると 連投規制やスレ立て規制が動いてないからなのか荒らし放題だな lavenderもコピペ・グロ貼られて荒らされてるわ ヲチ板スレ乱立荒らしのせいで大量の現行スレが落ちてます >>451 生業じゃね? スプリクトの特徴を見つけたいけど、複数人(端末?)がやってるとして 市況板が好きなやつが絶対に混ざってるよね 上がっただの下がっただの。 意味のない文章を書き込む荒らしは新しくない? あのスクリプト?はどうやって作ったんだろ? 流れで読んじゃうから、ウザさ倍増 糖質の工作員を大量に雇って書き込んでいるのかと思った スレ建ちと同時に即荒らしてるんだけど クロールの度にIP転がしてんのこれ? 【ビッグモーター】12工場「車検場」取り消しへ 国交省 [香味焙煎★] https://asahi.5ch.net/test/read.cgi/newsplus/1697063736/ ビッグモーター「車検場」取り消しで、ピットクルーが余っているので >>464 生成AIじゃね? あの文章、最初はコピペだったのでググれた その後できなくなったので あちこちのログをつまんで3行にしろとか、そんな感じにやってる気がする 夏目漱石の作品コピペの時に 文章で荒らすのがねらーを苛立たせるって学んだんだろうなとも思う 特徴をつかまえられないけど、とりあえず 頻出の男性名として下記のNG登録はしたw ジェイク、ネイサン、ガーシー 壺にスプリクト荒らしは無理 そんな知恵があったら解散になるわけないw どのスレも荒らされ放題じゃん 荒らされても運営としてはどうでも良いんだろうな ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる