Existe alguma maneira de realmente banir pessoas de um site?
33
Suponha que você tenha um usuário que esteja postando coisas realmente ofensivas no seu site e que você o bane (suponha que seu aplicativo da Web tenha uma maneira de marcar essa conta como banida para que ele não possa fazer login novamente).
Existem maneiras inteligentes de tentar impedir essa pessoa de criar outra conta com um nome de usuário diferente?
Meu palpite é que não há maneiras difíceis e finais de fazer isso além de algum tipo de dispositivo de login biométrico *. Mas estou curioso para saber de tudo o que eu poderia fazer para dificultar alguém continuar fazendo isso.
Se você tem uma comunidade vibrante, receberá uma certa quantia disso. Algumas abordagens a serem consideradas ao adicionar camadas de moderação.
Exigir pagamento para inscrição:
Algumas comunidades, como o Metafilter , têm mods completos, mas também cobram uma pequena taxa por todos os usuários (o MeFi cobra US $ 5), o que diminui um pouco.
Períodos de espera: eles também estabelecem limites de tempo para algumas das ações que você pode fazer com uma nova conta. Portanto, você pode postar um comentário, mas não pode criar uma nova postagem por um período de tempo (acredito que 7 dias). Tornar mais difícil para uma nova conta fazer algo pode ser útil, mas também pode desativar usuários legítimos.
Vergonha: Outras comunidades de comentários - o BoingBoing já usou isso - usam uma técnica de vergonha chamada " desvogação " ( Wikipedia ) - basicamente, se o seu post é um bozo, ele remove todas as vogais e você parece um idiota.
Coloque o usuário no modo furtivo : uma abordagem mais discreta é simplesmente permitir que o usuário continue comentando, mas ocultar completamente suas postagens de todos os outros usuários. Eles se conectam e, de repente, misteriosamente, ninguém responde a seus comentários e tópicos. Agora, se você tem uma opinião pública, isso cai como uma solução, porque eles entendem o jogo rapidamente. Mas eu sempre gosto dessa solução.
Moderado até que não seja provado que não é bozo: Outra coisa a fazer é colocar todos os novos usuários ou todos os usuários abaixo de um certo limite de atividade em um site em liberdade condicional. Tudo o que eles fazem é moderado até que eles postem X comentários que não sejam do bozo, etc. Grande sobrecarga lá, mas funciona bem nas listas de discussão que eu moderamos.
Permita qualquer coisa, mas não salve nada: Uma solução mais exclusiva é simplesmente nunca salvar nada, 4chan, por exemplo, simplesmente não salva nada - sem arquivos, sem nada. Ele convida e abraça bozos e tudo, mas não arquiva nada por mais de um certo período de tempo, então há efeitos menos duradouros de qualquer bozo. Observe que o 4chan ainda precisa de moderadores, portanto, mesmo com esta solução, ainda há uma certa sobrecarga.
Forneça ferramentas aos seus mods: permita que eles vejam visualizações da atividade do usuário por usuário e por thread, juntamente com endereços IP e outros dados "delicados" (email, agente do usuário, horário típico do login) para que eles possam ver quem está ligado e o que está acontecendo . Mostrar essas coisas ajuda a entender o site e a ser proativo quando as coisas ficam fora de controle.
Sistemas de reputação: o StackOverflow e todos os sites StackExchange mantêm o controle da reputação do usuário e permitem mais capacidade com mais repetições. Slashdot é o primeiro site que me lembro de colocar algo assim no lugar. Observe que você não precisa necessariamente compartilhar reputação com seus usuários, uma vez calculado, ele pode ser compartilhado com mods para ajudá-los a tomar suas decisões.
A proibição de IP é o primeiro impulso que todos têm, mas ocasionalmente agarra pessoas inocentes e, para alguns usuários bruscos, eles estão sempre com um IP diferente, o que é uma dor.
Atualização, 2011.
Existem dois módulos interessantes do Drupal , utilizáveis obviamente apenas em sites baseados no Drupal que podem lhe dar idéias: Miséria , que cria experiências miseráveis para o usuário - atrasos aleatórios, erros aparentes no site, redirecionamentos aleatórios; Cave , que é uma implementação do "4" acima, "Coloque o usuário no modo furtivo" .
+1 para "Colocar o usuário no modo furtivo" Este é o meu favorito pessoal.
Larry Smithmier
1
+1 para tudo, embora especialmente para envergonhar ! :-)
stealthyninja
1
Eu amo a "miséria". Se eles escreverem um comentário e ele parecerá aleatoriamente danificado - ou se o site disser que não foi salvo por erro desconhecido. Bem, isso pode fazê-los desistir.
Eu não sou fã de shadowbanning. O Reddit reserva apenas para spambots maliciosos, e por boas razões.
Hugo Zink
12
Além da lista de artlung:
A proibição de IPs diretamente tem o problema de que é fácil contornar e que você perde as informações do endereço IP. É melhor deixá-los se registrar e depois de postarem as suas contas, para que não saibam realmente que você os capturou pelo IP ou configurá-los no modo silencioso que eles acham que podem postar, mas outros não verão suas postagens.
Especialmente na Europa, muitas pessoas usam endereços IP dinâmicos e você teria que banir todo o intervalo de IPs do provedor para efetivamente bani-los.
Existem alguns sinais de que um usuário pode compartilhar duas contas e, portanto, são fantoches. Os moderadores podem usá-los quando suspeitam que alguém se registrou, mas o processo também pode ser automatizado.
O IP pertence à mesma cidade? O cabeçalho do navegador sugere o mesmo navegador e tamanho de tela? O endereço de email parece um endereço de email real? O que acontece quando você pesquisa no Google a parte antes do nome do domínio? O que acontece quando você pesquisa no facebook uma conta desse endereço de email?
O anti-aliasing na web, de Jasmine Novak et al, é um artigo que sugere que seu algoritmo automatizado arquiva uma precisão de 90% para identificar bonecos de meias com base em seus hábitos de escolha de palavras e formatação de texto.
Ter cookies que identificam usuários pode capturar alguns usuários.
Autenticação através do envio de um SMS.
Fazer apenas um convite para o site pode ajudar. Se alguém convida uma pessoa e ela é banida, também pode receber um aviso. Demonoid seria um exemplo de um site grande que usa o princípio.
Na Alemanha, a nova senha que será introduzida terá um recurso para autenticar usuários em sites e, portanto, fornecer proteção real contra marionetes. Infelizmente, isso não é padrão internacional e, portanto, não é muito útil.
O Citizendium exige um endereço de e-mail oficial de um local de trabalho ou universidade para se registrar. Esse sistema funciona bem na prevenção de fantoches de meia, mas também parece impedir o registro. Exigir uma conta no facebook saudável pode ser uma alternativa que também pode funcionar para expandir o tipo de autenticação que o Citizendium usa.
A Wikipedia proíbe o acesso dos proxies Tor e Anonymous. Se você não tiver os recursos para implementar um sistema assim, pesquisando um endereço IP no Google pode frequentemente informar se o endereço IP é um proxy aberto e, portanto, caiu em alguma caixa de proteção contra spam.
Se você baniu proxies e um usuário realmente produz problemas reais e é persistente, pode ser necessário pensar em ir à polícia. A difamação é um crime em muitos países. Eu gosto muito de alguém que modera uma rede social local na Alemanha que conseguiu que um tribunal proibisse um determinado usuário de visitar o site porque o usuário assediava sexualmente meninas no site.
Adicionar um applet flash invisível à sua página de login e usá-lo para armazenar um cookie Flash (mais de 95% dos navegadores podem fazê-lo, muito menos conhecido que os cookies regulares, muito mais difícil para a maioria dos usuários limpar) na máquina do usuário maneira persistente de rastrear e banir um usuário. Veja esta pergunta StackExchange que explora o assunto:
Você pode bloquear o endereço IP. Eu sei que sites como o Slashdot bloquearão seu IP se você estiver tentando fazer um ataque do DOS. Isso é mais extremo e não os impedirá de tentar em outro local ou computador, mas os atrasará.
Além disso, você pode fornecer um cookie a um usuário com um GUID e, se você o banir completamente do site, poderá fazer com que ele procure o GUID e os bloqueie com base nisso.
A única outra maneira de fazer isso é obtendo o endereço MAC, que eu não acredito que seja possível na internet sem um cliente espesso.
Novamente, nenhum desses métodos é infalível, mas não há como realmente saber quem está visitando seu site.
Além da lista de artlung:
A proibição de IPs diretamente tem o problema de que é fácil contornar e que você perde as informações do endereço IP. É melhor deixá-los se registrar e depois de postarem as suas contas, para que não saibam realmente que você os capturou pelo IP ou configurá-los no modo silencioso que eles acham que podem postar, mas outros não verão suas postagens.
Especialmente na Europa, muitas pessoas usam endereços IP dinâmicos e você teria que banir todo o intervalo de IPs do provedor para efetivamente bani-los.
Existem alguns sinais de que um usuário pode compartilhar duas contas e, portanto, são fantoches. Os moderadores podem usá-los quando suspeitam que alguém se registrou, mas o processo também pode ser automatizado.
O IP pertence à mesma cidade? O cabeçalho do navegador sugere o mesmo navegador e tamanho de tela? O endereço de email parece um endereço de email real? O que acontece quando você pesquisa no Google a parte antes do nome do domínio? O que acontece quando você pesquisa no facebook uma conta desse endereço de email?
O anti-aliasing na web, de Jasmine Novak et al, é um artigo que sugere que seu algoritmo automatizado arquiva uma precisão de 90% para identificar bonecos de meias com base em seus hábitos de escolha de palavras e formatação de texto.
Ter cookies que identificam usuários pode capturar alguns usuários.
Autenticação através do envio de um SMS.
Fazer apenas um convite para o site pode ajudar. Se alguém convida uma pessoa e ela é banida, também pode receber um aviso. Demonoid seria um exemplo de um site grande que usa o princípio.
Na Alemanha, a nova senha que será introduzida terá um recurso para autenticar usuários em sites e, portanto, fornecer proteção real contra marionetes. Infelizmente, isso não é padrão internacional e, portanto, não é muito útil.
O Citizendium exige um endereço de e-mail oficial de um local de trabalho ou universidade para se registrar. Esse sistema funciona bem na prevenção de fantoches de meia, mas também parece impedir o registro. Exigir uma conta no facebook saudável pode ser uma alternativa que também pode funcionar para expandir o tipo de autenticação que o Citizendium usa.
A Wikipedia proíbe o acesso dos proxies Tor e Anonymous. Se você não tiver os recursos para implementar um sistema assim, pesquisando um endereço IP no Google pode frequentemente informar se o endereço IP é um proxy aberto e, portanto, caiu em alguma caixa de proteção contra spam.
Se você baniu proxies e um usuário realmente produz problemas reais e é persistente, pode ser necessário pensar em ir à polícia. A difamação é um crime em muitos países. Eu gosto muito de alguém que modera uma rede social local na Alemanha que conseguiu que um tribunal proibisse um determinado usuário de visitar o site porque o usuário assediava sexualmente meninas no site.
fonte
Adicionar um applet flash invisível à sua página de login e usá-lo para armazenar um cookie Flash (mais de 95% dos navegadores podem fazê-lo, muito menos conhecido que os cookies regulares, muito mais difícil para a maioria dos usuários limpar) na máquina do usuário maneira persistente de rastrear e banir um usuário. Veja esta pergunta StackExchange que explora o assunto:
https://stackoverflow.com/questions/483678/javascript-bridge-to-flash-to-store-so-cookies-within-flash
fonte
Você pode bloquear o endereço IP. Eu sei que sites como o Slashdot bloquearão seu IP se você estiver tentando fazer um ataque do DOS. Isso é mais extremo e não os impedirá de tentar em outro local ou computador, mas os atrasará.
Além disso, você pode fornecer um cookie a um usuário com um GUID e, se você o banir completamente do site, poderá fazer com que ele procure o GUID e os bloqueie com base nisso.
A única outra maneira de fazer isso é obtendo o endereço MAC, que eu não acredito que seja possível na internet sem um cliente espesso.
Novamente, nenhum desses métodos é infalível, mas não há como realmente saber quem está visitando seu site.
fonte