:heart:
www.dao.js.cn
@熊猫 @懋和道人 这至于问题七,我的一贯建议是在没有任何审核机制可言的状态下,我的建议就是删掉整个个人介绍。  这样多干净?
@熊猫 就7而言,我们群友在群里重点探讨过这个基础安全性质策略问题。我有从dz转pw、xiuno,再到现在rhex的完整使用迁移经历,结合实际运营经验来说,个人签名、个人介绍、个人简介本质上属于同类功能,作用都是展示用户基础个性信息。目前前端已经设置了个性签名板块,足以满足用户个性化表达的需求,没必要再额外增设可自由发布大量内容、外链与图片的权限。   如图片所示,现有形式已经可以正常展示域名www.dao.js.cn这类内容。但试想如果被别有用心之人利用,就会出现下面这类情况:  从风控管理的角度来看,这项功能会存在不小的隐患。当前用户主页暂时没有配套的内容检测、自动审核机制,一旦放开字符、URL、图片的使用限制,很容易被恶意滥用,成为传播违规外链、不良内容的渠道。 小型站点用户数量有限,管理员还能人工逐个核查主页内容,但如果是用户体量较大的站点,一旦出现大量用户批量发布违规链接、违规图文,依靠人工根本无法及时处理,不仅会大幅增加管理成本,也会让站点面临相应风险,这也是当下运营大数据体量站点普遍会遇到的难题。我们实在没必要新增这样一个缺乏管控的内容入口,重蹈部分平台主页内容泛滥的问题。 除此之外,完成ICP备案与网安备案的站点,都需要遵守网络安全与合规建设相关要求,平台对外链、外部内容及API接入都有着严格的管控标准,无限制的个人主页内容,很容易触碰合规红线。同时目前插件对接的第三方SDK、API缺少正规合规背书,无法核验来源与安全性,这也是我建议60s、whois等部分插件支持自定义接口的主要原因,希望能从源头把控接口安全。 本次提出的诸多意见里,除了少量样式、互动类问题外,其余大多都是围绕站点核心安全策略展开。综合来看,现阶段前端可发布外链、图文的渠道已经足够,在缺少完善审核能力的情况下,不宜再开放新的高权限内容入口,一同守住站点的安全与合规底线。 另外本次提到的安全相关建议,也包含了第三方登录、短信验证这类功能机制。这类云服务和60s、whois类工具不同,同样需要核验相关资质与安全背书。若是采用聚合登录这类第三方登录方式,其安全稳定性也存在一定不确定性。正因为看好这套程序,希望它能长久发展,我才坦诚分享这些想法。如果能从基础安全着手,合规运营、良性发展,对产品而言自然是更好的选择。 还有一点,你提到目前发布的部分插件仅为示例、开发案例,那建议在标题处加以标注,方便大家区分,按需下载学习。我的IT171网站从2013年创办至今已有13年,经历多年运营,想法也更加务实。只希望这些微薄建议,能让产品走得更稳、发展得更长久,这就足够了。