trackback 有罪

作者: sadly 出自: http://www.phpx.com

昨天 4ngle 找俺 要俺帮他测试一下trackback防spam的功能:(
好无聊,原来的那些js早没了,随便套了一个php的httpclient类库给他写了一个,
发现他的程序效果还是不错的。

我不晓得机制是什么样,我再说一点点。
trackback 和 comment 是不有同的,对吗? 往下看~

不知到有没有人考虑过,trackback应该从哪里发出来?
如果我在一篇blog里引用了你的文章,要对你发出trackback,
那么通常向你的服务器发trackback的应该是我的BSP的服务器,
它的ip地址和trackback里面url的ip地址应该是有一致性的吧?

如果有一个trackback发出的 ip 地址是 202.108.1.1 , url是 www.abc.com/blog/1.html
但 www.abc.com 的ip地址是 203.121.1.1 那很显然,它大概是伪造的。

如果你在用一个很大的BSP,那么不排除这种可能性,
username0.bsp.com的ip地址是 202.108.1.1
username3.bsp.com的ip地址是 202.108.1.2
username5.bsp.com的ip地址是 202.108.1.3
而系统发trackback的时候使用的是 202.108.1.5 ,因为大的集群里由于负载均衡等等的需要可能
会存在这种分工,进出的ip不一样,但是他们的差异会有多大呢?

多动脑子,少动嘴:) trackback 没有罪, 开放也没有罪, 但是不爱思考的程序员有罪。

—————————–
刚刚在dreamhost测试了一下~ www.***.com 的ip地址是 64.111××× 而 www.***.name 的ip地址是 208.×××
用同样的wordpress程序测试,得到的服务器出口的ip是 64.111.*** ,还好,出口的ip是一致的。

如果改用白名单来控制哪些BSP / IP地址是可信的,那效果估计比过滤关键词,ip,网址之类的要
轻松不少吧, 还有上次说过那个问题 §时间§

发表评论

电子邮件地址不会被公开。 必填项已用*标注