Wiki : 等待的灾害发生?
Angsuman Chakraborty
2004年11月27日
Wiki的允许合作编辑网站。
象原始的c2 wiki的多数wikis允许匿名用户修改网页,包括内容的完全外部链接的删除或插入。 大多数维护备份,少数不。
一次被瞄准的剧本基于攻击可能通过爬行非常容易地修改或删除很大数量的这些页通过wiki网。 我是肯定的恢复的admin的意志尝试,然而他们是几乎无能为力的反对一位热忱的黑客,能不仅使用anonymizer服务从不同的IP'S张贴,但是也许也使用用于DDOS攻击通常的寄生虫。
这与取消服务至少是等效的攻击因为它防止人观看这些网站内容,经常主持有用的产品&服务相关信息。 因为它可能用可厌恶或不适当的内容,替换内容实际上是更坏的。 它明显地也有能力暗中张贴链接到成人或赌博娱乐场或者抵押站点。 链接兜售信息可能承担一个整体新的维度- wiki兜售信息。
一种解答将允许对审阅注册过程的成员的修改。
过程必须使用某一方式防止象信件公认的自动注册图象等(象Hotmail电子邮件注册)
方式问题可以是包含和易处理的,因为剧本不可能被用于影响站点。 并且防护作用可以采取象去除迷失成员,电子邮件证明等。
一旦剧本从等式被去除,休息是容易。
不要求注册的简单溶体将请求修饰词做从图象的信件公认。 这项简单的措施保留wiki的匿名modifibility,锁自动剧本。 传播spamlove通过wiki人是可能的,然而作用将是易处理的。 并且总是有要求修饰词登记的选择1。
归档在 技术之下, 网 | 
|
RSS 2.0 | 
给这篇文章发电子邮件
您可以也喜欢读 |
增加到Technorati喜爱
2004年11月28日在5:31上午
灾害已经发生,那里是攻击用途广泛的软件例如usemod的许多剧本。
如果您请考虑一个captcha系统注意图象公认将删去盲人人民和这样。
2004年11月28日在8:07上午
Wiki真正地是一个适当地被设计的内容编辑系统的没有替补例如WebDAV,可能利用标准认证和授权提供美满的安全。 假使现代DAV服务器归属的低成本,我惊奇人们仍然使用Wiki。
2004年11月28日在11:48上午
我将加序言这个岗位与事实我是Atlassian的创建者和合流- 专业wiki队主角
我认为应该涉及易察觉地而不是不合理的您培养每合法的点,但是一个。
锁大家在您的wiki外面首先培养障碍贡献内容,因此丢失wiki的秀丽(任何人可能贡献内容!)。
在公共互联网的wilds,这些事可以是可怕的-放弃控制总是。
在一个公司或组织环境里,您的wiki通常是在某一描述之后您的防火墙,因此您真正地不需要让这些类攻击担心。
强制执行用户的注册是一种解答,但是肯定一临时只一个-,如果某人在您的wiki想要乱写足够非常,他们可以容易地写电影脚本用户注册。
其他解答包括有反转特点,以便,如果某人滥用它,您能滚动和有通知特点,以便您知道,当某人滥用您的wiki。
关于等待“的灾害发生” - c2得到被攻击的,通常被抹的,被删除的等,它和仍然仍然是最佳的征兆给我的充分有用的内容-它运作
欢呼,
麦克
2004年11月28日在2:30 pm
麦克,
好有您的输入。 我设法演讲下面您的点。
>锁大家在您的wiki外面首先培养障碍贡献内容,因此丢失wiki的秀丽(任何人可能贡献内容!)。
我确实不建议给从wiki的停工人。 我是说法的所有是他们登记并且辨认他们是人由图象公认,象hotmail等的自由电子邮件提供者胡乱地使用的技术。
并且过程或认同不是自动的并且要求从wiki管理员的干预。
我增加到岗位的另一个选择是他们在每修改之前做图象公认。 那个方式他们仍然不必须登记。
>在一个公司或组织环境,您的wiki通常是在某一描述之后您的防火墙,因此您真正地不需要让这些类攻击担心。
那是一种常见的误解。 公司网可以平等地被服从到知情人攻击,可以是平等地有害的,如果不是更多。
实际上我认为最巨大的挑战是与决定内部地使用它的公司。 对由雇员广泛视察的wiki系统的简单的变动可以是惨败的。 而股市是开放的,想象某人错误地张贴关于一位关键官员的辞职“被信任的” wiki的!
>,如果某人在您的wiki想要乱写足够非常,他们可以容易地写电影脚本用户注册。
不与图象公认。 recgnize一个爬行的图象今天图象识别系统是非常难在许多被提出的这样测试。 只有人能适当地辨认他们。 证明它到您能设法使用剧本或节目认可雅虎或hotmail图象的您的满意哪些为证明被提出。
>其他解答包括有反转特点,以便,如果某人滥用它,您能滚动和有通知特点,以便您知道,当某人滥用您的wiki。
系统的问题是它将overflood,当对多页的广泛的改动由寄生虫thousads在一个连续基础上做对数以万计页每次由互联网时的不同的部分。
岗位的关键是这样系统为处理老练犯规推销者明显地是不充分的今天。
>关于等待“的灾害发生” - c2得到被攻击的,通常被抹的,被删除的等,它和仍然仍然是最佳的征兆给我的充分有用的内容-它运作
我说它发生的等待
看是有趣的它怎么应付反对剧本基于分布的攻击而不是少量痛苦在这脖子人。
事实它是安全今天不最少在保证这明天将是安全的。 实际上同样逻辑可能被用于说WTC是安全的在8/11。
Angsuman
2004年11月28日在2:41 pm
尖头棒,
感谢您的输入。 您提出了合法的观点:
>,如果您请考虑一个captcha系统注意图象公认将删去盲人人民和这样。
我必须承认我没有考虑他们在这个岗位。 什么是您的解答对可以由一个盲人解决的挑战,不由一个自动化的剧本?
Angsuman
2004年11月28日在8:42 pm
一可能解决方案将使用系统相似与谷歌的Gmail成员邀请。 那里人们会请求从一名当前成员的一个邀请。 它仍然不是难得到会员资格和兜售信息的使用它,但是它大概做它困难足够的所有它不值得犯规推销者的。 正您有成员的邀请的切口的增加的能力,如果他们给邀请结果是犯规推销者的门限人数。
并且它不会影响瞎的人民。 有社会焦虑性障碍的只有人们。
2004年11月29日在4:16上午
关于“c2得到攻击的麦克的评论,通常被抹的,被删除的等,它仍然是,并且有用的内容”我充分注意到, c2有能的很多用户(和将)清扫发送同样的消息到多个新闻组。 当wiki有只有一些名活跃用户时,持续的努力保持wiki干净可能容易地删掉wiki提供的价值。
在一个有些相关题目, TWiki人民设法公开 “攻击者 能执行与网络服务器过程的特权的任意壳命令的一个讨厌的安全臭虫”。 我的一个朋友由此已经咬住了,当他webhosting的帐户是冻结由提供者…攻击者显然地使用wiki送发送同样的消息到多个新闻组。
2004年11月29日在5:37上午
dunno。 我是在一边“问一个小的沉默寡言的问题”。 某事象“在foo输入2 + 2 ″ “前封信件”等等。 无论如何不是一个真正的解决办法。 paypal请求您的它似乎,如果您想要听声音。
无论如何,来自在comp.lang.ruby (被用于的rubygarden.org wiki的一条loooong多条螺纹的二个有趣的想法得到发送同样的消息到多个新闻组很多)。
-改变的/slightly/接口似乎锁多数马胃蝇蛆(在这种情况下不允许在链接的小写HTTP)
-使wiki appetible通过杀害直接外部参考(即通过谷歌改方向或xrl.us或qurl.net)似乎锁多数人
2004年11月30日在2:33上午
有是基于的音频的一个供选择挑战为视觉减弱的用户通常使用。
关于“captcha的”图象公认,有大多时间的确运作的一些软件: http://www.cs.berkeley.edu/~mori/gimpy/gimpy.html 是一个。
http://www.captcha.net/ 有链接对当前科技目前进步水平在两个领域(captcha和captcha解难题者)。
2004年11月30日在4:44上午
感谢情报评论everone。
主题: 图象根据captcha的
我看captcha。 因为您全部大概知道gimpy &它改进的版本当前是可解的与高准确度。 并且,当您有剧本时,甚而10%准确性优良是! 我肯定有极大有或培养酒吧使它不可行captcha的改进的版本。 实际上站点有在一些的参考,未检查他们。 并且,如果您看雅虎,他们似乎使用一个改进的版本。
要改进captcha的我认为我们应该使用技术的组合和为引起的每个图象使用子集。 那个方式甚而与现有的技术我们做猜测的可能性。
有趣地我们促进使用犯规推销者金钱创造真正地创新图象公认算法
2004年11月30日在4:57上午
Brady,
感谢您的输入。 我设法表示下面我的关心。 告诉我什么是您的想法。
>一可能解决方案将使用系统相似与谷歌的Gmail成员邀请。 那里人们会请求从一名当前成员的一个邀请。 我
>和它不会影响瞎的人民。 有社会焦虑性障碍的只有人们。
什么有关我是这严厉地限制Wiki的可及性并且阻碍它的自由流自然。 多少人民您认为将审阅所有麻烦得到推举,因此他可以免费张贴
实际上我认为Orkut和Gmail是失败,如果他们的宗旨将使用它作为catcha。 说到这点我不是真正地肯定的除什么之外他们的宗旨将减少用户水池。
并且许多我的谷的朋友说他们有问题得到对之一的通入他们甚而与他们广泛的网络。
想象多么困难它是为瞎的人民!
谁浏览多少盲人人民互联网,我们知道? 个人我什么都不知道。
我想知道它是否是限制比使用图象基于captcha的…什么是您的想法?
JM亲切地指出了:
>有是基于的音频的一个供选择挑战为视觉减弱的用户通常使用。
那确实是PayPal使用的最吸引人的选择。 关键关心是语音识别软件将由犯规推销者很快用于克服那个挑战。 并且变形声音,考虑是更难甚而单调机器人声音是难为某些人的了解
然而这也许是我们此时得到…的最好
2004年11月30日在5:29上午
道格进一步确认了我的在上面他的岗位的关心。
凹节提供了一些扣人心弦的选择:
感谢凹节。
>我是在一边“问一个小的沉默寡言的问题”。 某事象“在foo输入2 + 2 ″ “前封信件”等等。 无论如何不是一个真正的解决办法。 paypal请求您的它似乎,如果您想要听声音。
我认为它优良创艺!
我也认为沿着同样线。 可能是简单的mathemetical难题或关系困惑,如- A是C的父亲,并且B是C的姐妹,如此….
实质上可以由所有人解决并且要求太多做使它iinfeasible为计算机的简单的难题。 应该从一个大演变的集合任意地挑选套问题使它有效。 并且automcatic不用于结构上的修饰词也许被用于象形容词防止简单模式匹配。
这个集合的然而成功由多少品种限制我们在创造可以导致这些问题。 看起来一台自动化的发电器可能是方式去。 打节目的节目
> -改变的/slightly/接口似乎锁多数马胃蝇蛆(在这种情况下不允许在链接的小写HTTP)
他们意识到,另一方面,但是它只有一段时间了将运作。
> -使wiki appetible通过杀害直接外部参考(即通过谷歌改方向或xrl.us或qurl.net)似乎锁多数人
那是一个有趣的提议。 然而仍然不防止他们在站点的投稿不适当的内容并且不创造原文参考。 然而这是也许是有用的在与其他meaasures的conjuction的事。
您全部认为怎样?
2005年3月11日在5:45 pm
[...]被删除以后说30天。 然而词过滤是冰山的一角。 我们需要图象和音频公认除草scipted评论投稿。 并且一个自动化的方式增加[...]
2005年3月31日在4:03上午
想法。 如果节目只得到设法10%的准确性猜测图象,它是否是琐细的取缔从wiki的剧本(得到图片错误5次? IP禁令1小时)
2005年3月31日在5:11 pm
真实的@Tim,除非他们使用(匿名)代理人名单访问网站。
2005年7月5日在4:30 pm
它需要被认可许多在wiki社区没看见此作为问题。 他们相信SoftSecurity并且是不愿意通过实施授权计划违犯wikiness。 Wiki比对这些人的一个机制,他们不寻找一个保安系统是更多哲学。 它是一个好想法相识软的安全想法,他们为什么相信坚硬安全是一场丢失的比赛,并且他们为什么选择留给他们的系统开放,依靠恢复站点的一个小组热忱的花匠。 一些也许说它是wiki的本质对于将被创造的信息,并且毁坏和那是什么是。 那不为在服务质量感觉的一个可靠情报系统做“总是在”,但是那可能不是wiki的目的到他们。
2005年7月5日在8:00 pm
@Steve
>他们相信SoftSecurity并且是不愿意通过实施授权计划违犯wikiness。
那不似乎再运作。
病区的Wiki陷下评论兜售信息 并且关闭了门对大家,但是选上的一些(因此我告诉了,因为我不是一个精选少数)。 实际上病区的wiki有CAPTCHA,只有写的代码在无处可看见的。
>他们为什么相信坚硬安全是一场丢失的比赛
我不同意。 使用妥协的窗口机器,随着评论兜售信息“软的安全”的出现不能生存,不在连续的攻击面前由数以万计从马胃蝇蛆农场的马胃蝇蛆。
>不为在不愿是wiki的目的到他们。的服务质量感觉的一个可靠情报系统做“总是”,但是
什么可以是目的,如果它不是可利用对用户然后怎么可能它服务它?
2005年11月28日在12:25上午
[...]尼尔发现了在留下笔记的他的wiki的道德犯规推销者(闻悉wiki兜售信息),在他们发送了同样的消息到多个新闻组之后: <! -我们留下美满原封。 我们允许您容易地去除加法。 - > <! -我们尊敬您的页并且为发送同样的消息到多个新闻组appologize。 - > <! -我们是道德犯规推销者小组。 (这是逆喻-被汇集,但是的二个期限是被反对的意味)。 - > [...]