惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Google DeepMind News
Google DeepMind News
C
CERT Recently Published Vulnerability Notes
C
Cisco Blogs
Cloudbric
Cloudbric
The Last Watchdog
The Last Watchdog
L
LINUX DO - 热门话题
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Application and Cybersecurity Blog
Application and Cybersecurity Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
Security Archives - TechRepublic
Security Archives - TechRepublic
TaoSecurity Blog
TaoSecurity Blog
V2EX - 技术
V2EX - 技术
H
Heimdal Security Blog
S
Security Affairs
L
Lohrmann on Cybersecurity
Hacker News - Newest:
Hacker News - Newest: "LLM"
Simon Willison's Weblog
Simon Willison's Weblog
WordPress大学
WordPress大学
小众软件
小众软件
Security Latest
Security Latest
AWS News Blog
AWS News Blog
Apple Machine Learning Research
Apple Machine Learning Research
GbyAI
GbyAI
Engineering at Meta
Engineering at Meta
阮一峰的网络日志
阮一峰的网络日志
罗磊的独立博客
F
Full Disclosure
S
Schneier on Security
L
LangChain Blog
MyScale Blog
MyScale Blog
Know Your Adversary
Know Your Adversary
P
Privacy International News Feed
Google Online Security Blog
Google Online Security Blog
Scott Helme
Scott Helme
Stack Overflow Blog
Stack Overflow Blog
爱范儿
爱范儿
A
Arctic Wolf
Martin Fowler
Martin Fowler
B
Blog RSS Feed
大猫的无限游戏
大猫的无限游戏
博客园 - 三生石上(FineUI控件)
The Register - Security
The Register - Security
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
博客园_首页
Latest news
Latest news
F
Fortinet All Blogs
G
GRAHAM CLULEY
T
The Exploit Database - CXSecurity.com
Hacker News: Ask HN
Hacker News: Ask HN

皓子的小站

网站字体应用之坑——font-family 篇 糟糕的 meta name="theme-color" How to Automatically Track Newly Supported ESLint Rules in Oxlint How to Gradually Migrate from ESLint to Oxlint (Without Breaking Everything) 静态资源预压缩:零运行时开销,极致节省带宽 CVE-2025-70886 Proof of Concept (PoC) | A Script to Crash Halo CMS Comment Backend 自定义网页鼠标指针——一段曲折的旅程 CVE-2025-70886 漏洞复现/PoC | 一个脚本让 Halo CMS 评论后台瘫痪 2025 年终总结 & 博客两周年 老用户专享!已有 Halo 专业版授权可免费升级商业版 自动追踪 Oxlint 对 ESLint 规则的新增支持 Halo 贡献者证书与实体周边盲盒开箱 博客评论系统指南 CDN 回源跟随配置导致登录异常问题排查 SCDN 免费赞助计划:助力高质量博客&博客圈 锐捷校园网:网络共享与带宽叠加方案(哈理工案例) ESLint 到 Oxlint 渐进式迁移快速上手指南 Fixing Vite Breaking Inline JS & CSS in Thymeleaf Templates 解决 Vite 破坏 Thymeleaf 模板内联 JS & CSS 的方法 我的博客,为什么是月更? 博客俱乐部一周年纪念品开箱 网站字体加载之坑——format 篇 经历 1000000000 次 DDoS 请求攻击后,我总结了三条经验 题解分享:[AtCoder Beginner Contest 414 E] Count A%B=C 题解分享:[蓝桥杯 2025 国 Python A] 杨辉三角 P12876 FiF口语训练破解刷分教程(适用于 Windows) 不要与蠢人辩论 小心网络地雷·续篇 当心网络组织“开往”·续篇 当心网络组织“开往” 小心网络地雷 在 Halo CMS 中通过模板实现随机推荐多篇文章 回应某博客上有关“开往”组织在内部会议上对我的污蔑(上) 再遭 DDoS 攻击:CDN 流量限额拦不住请求计费飙升 2025年团体程序设计天梯赛 - Python 个人赛时暴力题解 网站流量分析工具 Umami 中国大陆合规版发布 把握当下,享受生活 Folo 认证功能反成漏洞?警惕 RSS 订阅源所有权被恶意盗取风险 在 Halo CMS 中通过模板实现随机文章跳转功能 从沉默展柜到时代回响:731部队罪证陈列馆参访手记 脚本分享:CDN 流量触顶后自动切换至 Cloudflare 官方 BUG 快薅!Halo 永久/买断用户可额外获得一份买断许可 老用户专享!已有 1Panel 永久授权/买断许可用户可再领免费买断许可证! 限时特惠!1¥ 立即解锁 1Panel 专业版全功能 61 天 混合云架构下的动态 IPv6 智能加速实践:从家庭网络到全球分发的低成本部署指南 如何用 AI 全方面辅助博客创作 - 从博文之内到博文之外 Random Number Generation and Formatting in Thymeleaf Thymeleaf 随机数生成与格式化详解 列举我维护的项目和发布的软件包 快速部署教程 - 通过 Webhook 触发邮件通知的开源自托管服务 Going Against the Grain - Four Websites That Make Your URL Longer 反其道而行 - 四个让你网址变得更长的网站 2024 年终总结 & 博客一周年 基于 OneBot API 的简易异步 QQ 群批量发消息脚本 如何快速完成中文排版优化 如何给文章分类和打标签 群规之敏感违禁词对抗 一图展示​ ​RSS3 世界 - The Open(RSS3) Universe 开源项目发到 bilibili 后可能获得的 PR C/C++:为什么 a[i][j] 等价于 *(*(a+i)+j) Fast Methods to Convert Uppercase Letters to Lowercase in C++ C++ 中快速将字符串大写字母转为小写的方法 Fixing GitHub Actions push to ghcr '403 Forbidden' error Fixing docker pull image "ghcr.io..." Unauthorized error 本站“算法题练习/题解分享”相关文章汇总 不怕流氓多,就怕流氓有文化——站长应该防范的几个问题及对应解决方法分享 题解分享:HRBUST 1132 水数 新手程序员必备的三项技能 如何快速排查插件(模组)的兼容性问题(基于二分法和分治思想) 通过 Umami 最新功能观察定时发布文章的最佳时段 踩坑分享:如何一个人搬运 126.7 斤的书坐动车 两篇文章分享:别像弱智一样提问 & 提问的智慧 论下落式音游/定轨音游中的优质粪铺(文末附铺面推荐) 为什么选择无纸化阅读?为什么买墨水屏电子书?为什么 Kindle“失败”了? 我维护的 Halo 主题,现已发布到 Halo 应用商店! OSU!Standard(osu!std)/OSU!Taiko 转 OSU!Mania 铺面转换器发布 我常用的 OSU!Mania 皮肤分享 电荷守恒辨析:为什么一个离子带多个电荷要乘上所带电荷数而不是除以所带电荷数 注意!align-items: flex-start 会导致 overflow-wrap: break-word 失效 惊人 98 元限定T恤!1Panel, Halo 开发商开启推广积分奖励活动 Minecraft Spigot Bukkit 服务器插件开发 教程收集 中文博客倡议 Windows 10 遇到“只能重装系统”但不想重装的解决方案 Windows 10 文件系统错误 -2144926975 -2147219196 修复 Windows 10 升级 Windows 11 简明教程 CSS 预处理器如何正确的复用样式(stylus 中使用 @extend 继承的坑) 一图解释单一质点运动波动图像和振动图像的关系 解决 Docker pull image "ghcr.io..." Unauthorized error 解决 GitHub Actions push to ghcr '403 Forbidden' error 解决 Umami API 更新延迟问题(如何修改开源项目代码并构建 Docker 镜像-以 Umami 为例) 在国家公祭日自动将网站变灰 中文博客圈列表 解决 Halo CMS 的 Umami Plugin CORS&CSP 跨域报错问题 Windows 创建存储池报错 无法创建池 不支持该请求 (0x00000032) Windows 显示器突然黑白 桌面突然黑白 鼠标和截图还是彩色的 通过指令过滤出正确的公网 IPv6 地址(记一次折腾 IPv6 DDNS) 我的世界免费科技地址 1.7-1.21 网站 Favicon 下载工具发布 键盘 Bios 内可用 系统内无法输入 设备管理器无黄色感叹号 设备管理器 网卡一堆黄色感叹号 例如 WAN, Miniport
请一定要回复博客下的匿名评论!对于博主和评论者有关匿名评论的倡议
HowieHz · 2024-04-19 · via 皓子的小站

背景

很多人在网站评论不注册账号,而是使用匿名评论系统,之后填入自己的昵称邮箱网站 URL 来评论。这其实也是一种署名评论。
然而在我思考后,我意识到这个系统很容易被滥用用来损毁评论者的声誉。
(24.4.27 注解:四个问题+背景补充里提到的大众意识缺乏问题会导致 攻击者可以利用损毁评论者的声誉)
针对这个问题,我提出了解决方法。如有其他的看法,欢迎在评论区友善讨论,或致邮讨论。

2024.4.26 背景补充

当下现状是,用你的昵称,用你邮箱,用你的网站,就能造出一个所谓“你”的评论。以及很多人认为这个“你”的评论真的是”你本人发送的“评论,从而会造成影响。
如果你很早就意识到了这个问题,这表明你在这方面是比较机灵的。事实上,在你眼中的常识或许不是真的常识,一些同志设想的 “不可能有人会看到你的昵称,邮箱,网站就直接认为这就是你本人“ 显然是和现实情况不同的。

很多讨论者在看到文章前想到的都是用专用的非公开邮箱来解决。这就能表明很多人没意识到所谓非公开邮箱,其实在发送评论的那一刹那,就已经泄漏了。

我们应做到不信任网上未经验证的东西,摒弃刻板印象,多沟通,多理解,积极交流沟通,并且相信人与人之间的善意。
最后的解决方法永远都是当面交流确认这是否是他本人发送的内容。

方法论

本文原方法论

思维过程

大多博主朋友们都会开放自己博客的匿名评论。
匿名评论只需要填入昵称邮箱(可选:你的网站 URL是否私发给博主)。

假设有这么一个人,非常讨厌博主甲,也许是现实中讨厌,发现了他的博客,也许是这个博主甲的博客内容让他觉得很不爽。

于是他决定报复这个博主甲。

首先他通过观察这个博主甲友链里面的评论,得知了这个博主a的惯用昵称
博主甲的网站 URL 显然是公开的。
在获取到这些信息后,他着手进行攻击。

如果他的评论邮箱没被暴露

评论时不选择私发给博主

这样攻击者只需要随便填入一个邮箱,并且不填入网站 URL,就可以进行长期的在各个博客的文章下用博主甲的名义进行恶意评论,例如人生攻击(或者不是明显的攻击,而是胡言乱语)。
即使博主回复这个评论,这个博主甲也不能知情。当博主甲知道的时候也许已经对他的声誉造成了较大的损害。

评论时选择私发给博主

被评论的博主没有意识到这个评论也许不是博主甲发的。
或者他只是想要找这个到这个博主甲,就把这个评论发到了某某博客交流群里。
这会导致很多人对博主甲产生偏见。

危害

  1. 破坏博客环境
  2. 损毁博主甲的声誉
  3. 损害被评论博主的心情

小结

因此,一个评论者公布自己的评论用邮箱是有必要的。
这样博主看到了非这个邮箱但是用这个昵称指向这个网站的评论就可以直接删除。

如果他的评论邮箱被暴露(非自己主动公布)

评论时不选择私发给博主

这样攻击者就可以填入邮箱,他的昵称,他的网站 URL,来进行恶意评论,而且被评论的博主看到了昵称邮箱网站都对得上,就认为是博主甲本人亲自评论的。
如果这个博主不回复这个评论,这个博主甲就不能知情有人用了他的名义去发表恶意言论。

这个评论过审后单单从挂在评论区的角度来看,路过的其他阅读者会认为这个博主甲不是什么好人,从而造成了对博主甲的名誉损害。

评论时选择私发给博主

如果被评论的博主认为通过所谓未暴露邮箱确认这是博主甲亲自评论,而不是被人冒用了信息。
之后将这个评论转发到某某博客讨论群,这会导致很多人对博主甲产生偏见。

危害

  1. 破坏博客环境
  2. 损毁博主甲的声誉
  3. 损害被评论博主的心情

小结

因此评论者要主动公布自己的邮箱,让自己的邮箱成为一个公开信息,这样被博主就可以用来确认这是否是你亲自发布的。

另外回复博主甲是有必要的,这样就能通知到博主甲(请确保你的邮箱服务配置正确),给博主甲提供一个澄清的机会,避免造成误解以及进一步的影响。(其实当你第一次评论的时候,你的邮箱就已经被暴露给被评论的博主了)

总结

综上所述,我建议大家依照方法论来应对匿名评论系统可能带来的风险。
这样既有利于维护博客环境,也有利于保护自己以及他人的名誉。
感谢您能阅读到这里,如有其他的看法,欢迎在评论区讨论,或致邮讨论。

2024.4.26 更新

概述

在多平台经过多日的讨论,对于如何解决这个问题,在和大伙的交流中,我脑海中涌现了一些新的想法。另外大伙也有许多不同的想法,我在此一并列出。

以下的四个问题+背景补充里提到的大众意识缺乏问题综合在一起,
会导致攻击者可以利用损毁评论者的声誉

四个问题

四个无邮箱验证纯匿名评论区现存的问题

  1. 站长无法验证这个评论的发送者是否是 邮箱所有者 & 通知邮箱被当做垃圾邮件发送器滥用
  2. 站长无法验证这个评论的发送者是否是 评论所标注站点的博主
  3. 访客无法验证这个评论的发送者是否是 评论所标注站点的博主
  4. 访客无法验证这个评论的内容是否 被篡改

吐槽

博客园随便随机个博客就是没验证码的匿名评论区,这么好的垃圾邮件生产器居然没有攻击者用。

被否决的措施

  1. 强制注册后评论:众多博主认为这有损评论激情

    站长评:的确如此,注册后博主和评论者都需要多管理一个账号。对于路过的单次评论,账号需要填写的一堆东西成本太高了。

  2. Gravatar的邮箱哈希值 & 非公开邮箱

    站长评:当你评论的时候,你的邮箱就已经暴露给被评论的博主了

在不改变目前评论系统的措施

本文原方法论

对于评论者
  1. 在你的站点或其他能证明你身份的地方 公布你的评论用邮箱(用于解决问题 2)
  2. 定期检查垃圾邮件(很多博主通知邮件用的是自己站点做域名,容易进垃圾箱)(用于解决问题 1)
对于博主
  1. 回复你博客文章下的匿名评论(请确保你的邮件通知系统能正常工作)(用于解决问题 1)
  2. 并且 删除\忽视\不过审 邮箱不正确的评论(当然前提是这评论者公布了他的评论用邮箱)(用于解决问题 2)

其他的办法

  1. 由 @GoodBoyboy 提出的给评论加上PGP签名(用于解决问题 2,3,4 博主在站点公布邮箱后可解决问题 1)

    @欧阳桂花 提醒,评论需加入评论位置信息(例:评论时的网址,评论时的时间),否则可能会将验证信息和评论一起搬运到其他站点(例:a站娱乐内容下发哈哈哈哈,被搬运到b站严肃内容下)

    拓展阅读:考虑为您的评论附上PGP签名 | GoodBoyboy 's Blog|惬意小屋-点滴记忆

  2. 使用非对称加密分发你的评论(用于解决问题 2,3,4 博主在站点公布邮箱后可解决问题 1)
  3. 由 @Soulizer 提出的较为经济的解决方案(用于解决问题 1,2,3,4)

    这些确实是问题,但解决的方法可能没有那么简单。从经济的角度来说,为了防范极小概率的不良情况而增加每一次评论的成本,并不划算。

    目前来看,最合理的方式也只能是当自己发现被别人冒名后出面澄清一下。澄清的方式可以是告诉大家,自己通常会从哪几个IP地址发送回复,而这个冒名的回复者不符合这一特征,并且可以邀请近期自己主动评论过的站点的博主作证。

    如果可以的话,甚至可以邀请各位博主搜索这个冒名者的IP地址,揪出这个冒名者的本来面目。

    当然,前提是各位博主需要在各个博客网站保持一定的活跃
    站长评:最终的解决方法依旧是与当事人沟通确认!

  4. 评论用个新邮箱,换个新昵称,不带自己网站。出事了不澄清直接换昵称也行,交流的目的达到了,其他的就无所谓了。(抹除问题的存在,因为你压根不需要别人验证你的评论所有者)
  5. 维护一个公开在线文档。自己在什么时候在什么网站评论了什么都填写在这个文档内。(用于解决问题 1,2,3,4)

新评论系统设想

注:该评论系统的普及需要有一个契机
比如哪天有机器人专收集匿名评论区,用作垃圾邮件发送器

此评论系统仅解决了 博主信任评论者没有被冒充 (也就是解决问题 1,2)
访客信任评论者没有被冒充,内容没有被篡改(也就是问题 3,4),依旧需要评论者提供方法让他人验证:评论所在页面是否正确,评论内容是否被篡改。如 #在不改变目前评论系统的措施 的 1,2,5 条。
同时评论区应注明:本评论区已验证仅代表邮箱被验证,评论所在页面是否正确 和 内容是否被篡改 需访客自行通过评论者提供的方法验证。

评论分为两类

  1. 不填写邮箱的评论,仅可填写昵称不可填写网站

    博主仅需进行内容审核

  2. 填写邮箱的评论,可填写网站,需强制验证邮件归属权

    博主需要审核评论指向的网站是否有公布邮箱,如不符应删除\忽视\不过审

验证邮件归属权的方法有:

  1. 向邮箱发送一封带有验证码的邮件来验证
  2. 在站点发送评论后,向邮箱发送一封带有验证链接的邮件,评论者需要到邮箱点击验证链接后评论方可发送
展开查看 文章修改历史

24.4.27

  • 重新排版,精简语言。标注清楚 4 个存在的问题。并且添加文章注释。

24.4.26 第二次修改

  • 修改 2024.4.26 更新-新评论系统设想 进行了一些补充
  • 添加 背景-2024.4.26 补充 部分

24.4.26 第一次修改

  • 添加 2024.4.26 更新 部分

24.4.19

  • 文章初发布