从“防水墙”到Discuz!反灌水方面的一些个人看法

现在很多站长估计都跟我一样，被网络日趋泛滥的暴力广告机和盗号器整得不厌其烦，守着每日被灌得体无完肤的论坛，天天被盗号器扫描弱密码ID，装了一个又一个防范插件，提高注册门槛，用户体验下降导致会员流失...我们每天都在跟灌水机瞎折腾，哪还有什么精力去做运营，烦，真的好烦！甚至之前已经有冲动想更换国外的论坛程序。

终于，官方的“灌水墙”出来了，之前满心欢喜的认为这个噩梦总算有了一个终结，而且这次官方不再开源，直接放在了云端，算是一个不小的进步，DZ终于明白了“核心开源”所带来的巨大风险，相信今后DZ的很多东西都会逐渐走向云端。

不过，试用了几天后，防水墙的机制实在让我笑不出来。

这完全是一种被动式的防范措施，而且可能基于运行负荷方面的考虑，处理起来还有时差，虽然屏蔽效果还算不错，虽然高速模式下处理周期“仅仅只有30分钟”，但是这这个时间内那些淫秽广告贴完全可以将一个论坛拉入无底深渊！

这就是官方经过这段时间开发出来的核心产品？！说实话我个人只能给它打50分，全新的理念是值得认可的，但是处理的机制却是让人蛋疼的。因为开发者忽略了我们使用者最大的需求：我们要的是防御，而不是事后过滤！就像你装一杀毒软件，该软件告诉你：毒我可以给你杀，但是你得先中毒了才行....{:soso_e127:}

说到这，我就要开始我这贴子要讲的主要问题了，关于Discuz!自生程序机制的问题。

1、防水墙这个插件还行，起码可以在无人值守的时候帮你省点心，但是完全要靠其作为防范用途，不靠谱；

2、经过长时间的观察和监控，现在的DZ程序自带的安全设置（如发帖间隔时间设置、语言过滤）对于灌水机的群发，基本上是没有任何防范作用的，具体体现为灌水机运作的时候，论坛会变得很卡，服务器负荷骤增，然后几秒间几十几百条帖子记录就入库了，抛开灌水机转用编码提交绕开关键词审核/过滤咱不管，一个可以让人家“秒杀”直接批量提交信息入库的程序，开发团队你们也许应该在程序体制上反思一下了。

3、用户表索引。这个是现在最让人头疼的问题，因为灌水机可以直接索引我们的用户表，对弱密码ID进行暴力猜解和盗取，便于他们后期用于广告群发。虽然可以通过相关插件设施减少效验次数同时封杀IP，但是这种治标不治本的措施应该不是最好的解决之道，看到每天运行记录里大篇大篇的密码错误信息，就像赤裸裸的站在那里被人捅菊花一样的难受。希望官方能在这方面加强建设，防范用户表被外部随意索引，我相信这个从技术上不是什么大问题。

4、根据长期的观察，现在大部分淫秽信息的广告机都采用的是湖北和广东的IP（这仅仅是本站观察的数据，不具代表性），行，哥反正是地方论坛，直接禁止你两个地儿访问总行吧，流量和使用上的损失咱就忍了，起码能换得一时的宁静。但是，DZ的后台居然没有禁止指定地区允许访问站点的设置！（比如填写“湖北”就能直接禁止湖北地区的IP访问）。这点是我一直郁闷的，为什么后台“用户注册验证限制的地区列表”这样的功能都可以有，却不提供禁止指定地区访问的功能（别跟我提“防恶意用户插件”带的那个，哥可以负责任的告诉你，没用，根本防不住）。

暂时就想到这些，后面想到了再补充。总之一句话，经验是相互交流的，用户的建议是值得参考的，毕竟是“买的不如卖的精，谁用谁知道”啊。

Discuz! 现在已经是国内份额最大的交互平台提供商，树大招风，难免就会有既得利益者和投机者从中捞偏门牟利，我们希望官方团队能多多努力，吸取经验加强建设，不要让DZ沦为国内最大的垃圾广告平台。

Discuz! 给我们提供了一个优秀的交互平台，我们也希望你们能一路走好，你成就我，我们也会成就你。

刚刚提交的时候服务器502了，发重复一篇，请版主删除，谢谢。

建议楼主试用一下看看

支持楼主，这麽有建议性的帖子

楼主见解很独特

楼主用心了。

楼主威武，我也是觉得防水墙事后过滤完全是扯淡

这篇贴子说的很中肯，我也认为防水墙事后过滤，而且是最快30分钟，完全不行，指望不上。
大家知道一般好一点的论坛搜索引擎收录都是很快的，一般发完后几分钟可能就收录了，发贴机要的就是发布完被百度收录，然后留下百度快照。所以他的目的是基本达到了。

很完整的见解，就是杀毒软件，反应速度也太慢了。而且估计以后会出qq会员类的人民币站长付款高速删帖。防水墙的概念被dz搞错了，有点自己扇自己耳光的意思
来自：Discuz! 官方站 Android客户端

lion163 发表于 2012-8-9 21:39
这篇贴子说的很中肯，我也认为防水墙事后过滤，而且是最快30分钟，完全不行，指望不上。
大家知道一般好一 ...

看来您还不是很了解。不是“最快30分钟”，而是30分钟内。建议你可以试用一下。一般很快就删掉