这是一个创建于 2177 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为邀请可以获得奖励,目前是策略是手动分析特征封禁域名和删除用户。
允许合理范围作弊,主要解决的是连续刷屏的用户。
现在已经限制了 ip 和 cookie,google 验证,但是这些都可以绕过。
有没有办法在注册抵御其他的办法? 先不考虑提高用户成本,只能接受邮箱
 |
1
kslr OP 这些邮箱一些是 yahoo 和 protonmail 迷惑性很高,也有使用域名邮箱
加上面对全球,各种奇怪的国家邮件服务 |
|
2
kslr OP 比如什么开源的评分工具
|
 |
4
Chan6 2018-11-17 13:08:03 +08:00 via iPhone
临时邮箱不都是有使用时间限制么,从这一点想想办法看,例如二次验证?过期的邮箱就收不到二次信息。
|
 |
5
x86 2018-11-17 13:08:15 +08:00 via iPhone  4
3&7 天统一结算一次,看邀请用户活跃度
|
 |
6
xdlucky 2018-11-17 13:10:11 +08:00 via iPhone
话说这一般是前端还是后端考虑的问题?还是产品经理的任务?
|
 |
7
chwhsen 2018-11-17 13:11:07 +08:00
限制只是用 QQ 邮箱和 gmail 邮箱
|
|
8
Chan6 2018-11-17 13:11:09 +08:00 via iPhone
如果手动去注册邮箱来刷,和真实使用场景区分开才好弄。
|
 |
9
JackieMe 2018-11-17 13:11:41 +08:00 via Android
我有个 protonmail 就是常用的啊,因为不用绑定手机号
|
|
10
kslr OP |
|
11
kslr OP 几次作弊也没什么,但是现在浪费了快一半资源,只能把这件事提上日程了。
|
|
12
kslr OP 只要能够降低一部分就可以了
|
 |
13
88250 2018-11-17 13:23:15 +08:00
别用黑名单,不然还有 N 多匿名邮件你加不过来的。用白名单,在白名单内的才能注册,我这边目前是这个配置:
qq.com,163.com,gmail.com,126.com,foxmail.com,sina.com,outlook.com,hotmail.com,yeah.net,aliyun.com,live.com,139.com,sina.cn,sohu.com,live.cn,yahoo.com,icloud.com,msn.com,21cn.com,tom.com,msn.cn 还有遗漏的也欢迎帮忙列一下,谢谢! |
 |
14
xxl11231220 2018-11-17 13:25:00 +08:00
验证手机
|
 |
15
crab 2018-11-17 13:28:35 +08:00
google 验证 都绕过? 这是手动操作吧。只能上手机验证码了。
|
 |
16
cigarzh 2018-11-17 13:35:24 +08:00 via iPhone
手机号验证
|
|
17
kslr OP @88250 白名单的话每个国家我这里不是很全,也需要统计一下数据,可以作为后备方案
@xxl11231220 @crab @cigarzh 一是隐私方面考虑,二是成本问题,三是部分地区比如伊朗等受封锁比较严重,自身损伤太大 |
 |
18
d5 2018-11-17 14:16:21 +08:00 via iPhone
国内用户,页面填写邮箱和进行螺丝帽&极验人机验证,发送到后端生成 jwt,不存数据库,客户端跳转 QQ 表单(表单设置必须微信&qq 登陆填写,粘贴 jwt 完成登记
|
|
19
d5 2018-11-17 14:18:19 +08:00 via iPhone
国外用户页面用上 cloudflare,人机验证用谷歌的,最后 jwt 粘贴到谷歌表单,谷歌表单设置必须登陆
|
 |
21
C2G 2018-11-17 14:21:53 +08:00 via Android 1
设置为账号注册后 7 天才能获得奖励,然后七天后再发一封确认邮件。然后奖励分四期 第一期 7 天,第二期半个月 第三期一个月 第四期一年,每一期发放前都一封邮件过去就行
|
|
22
d5 2018-11-17 14:25:25 +08:00 via iPhone
最后后端通过 webhook 或者定时查询存档
之前做过币圈空投页面的外包,如果你这是币圈相关的登记,还能用一些特别的办法,比如区块浏览器查询该地址是否有过交易记录,是否活跃,第一笔收入是否来自交易所之类的指标判断是否羊毛党 |
|
23
d5 2018-11-17 14:41:42 +08:00 via iPhone 1
流量后端就一个 jwt 返回接口在跑(因为密钥在服务端),也不写数据库,随便黑客小子们怎么造怎么折腾,最后我服务端通过 webhook 从谷歌表单解密 jwt 存档即可,
cloudflare 加 recaptcha v3 加 google 表单已经极大提高了造假成本,而实测用户体验也还行,做好页面提示并没有增加多大的学习成本 |
 |
24
russiansim 2018-11-17 14:49:17 +08:00
手机号验证
域名白名单 这样能挡掉相当大一部分无效注册 |
 |
25
YeT9 2018-11-17 19:42:52 +08:00
不是有一些第三方的安全服务吗,比如 TX 的「防水墙」,我觉得大厂积累出来的经验比随便 yy 出来的解决办法可能要有效。
|
|
26
kslr OP @d5 这里的主要问题还是在验证成本上,cloudflare 和 google 主要阻挡的还是机器人,目前基本都是真人
@russiansim 正在评估域名白名单 @YeT9 业务不符合,数据也不够透明,法律上会有问题,非国内业务, |
 |
27
wbrobot 2018-11-18 09:17:16 +08:00 via iPhone
之前自己做过一个邮件地址验证的服务,其中一项如果域名是免费随机邮箱,邮箱得分降到 0.1,后来发现国人不太用这种服务,就下线了(国外竞争激烈)
|
 |
29
allenhu 2018-11-18 16:42:37 +08:00 via Android
邀请的用户没有消费,就是垃圾流量,你这个奖励逻辑有问题!
|
|
30
allenhu 2018-11-18 16:43:03 +08:00 via Android
一群程序员大脑
|
Select Language