对论坛被Edge报红可能性的一些猜想

PilotSketch · 发表于 2023-9-10 00:44:47

本帖最后由 PilotSketch 于 2024-6-29 22:13 编辑

首先，Edge不可能无缘无故的就报红，一般肯定是检测到非法内容，机器人核实过后才会报。
说一个我最近的经历，昨天我在我自己的域名上添加了一个某服务API的反代服务自用。因为是反代，所以不带参数访问是会显示那个服务的官网界面。然后
今天我的网站就被谷歌报“含有社会工程内容”，然后使用谷歌安全浏览的浏览器（chrome，火狐等）就全部开始有红屏了。
于是我立马删除了这条解析，然后去谷歌搜索控制台申诉，大概30分钟谷歌就给我解除了限制。

所以我合理猜测，如果你的网址含有任何比较有名的服务界面，可能会被判定为“尝试伪造对应服务”，被判定为可能盗取用户信息，从而被限制。
同理，如果在帖子内嵌入iframe或其他指向站外链接的服务，一旦站外链接出现问题，本站也会连坐红掉。
我在逛论坛的时候，也发现了一些这些现象。举个例子，这位用户（https://bbs.luobotou.org/space-uid-195804.html）的个人签名就有两个iframe，其中一个还会获取你的ip地址。（也就是任何人如果点到了这个链接内你的ip都会被一个第三方服务获取）
如果这个问题被有心之人利用，那么这些有心之人就有可能获取论坛用户访问某个页面的时间（利用referrer），ip（包含大致地点），UA（显示浏览器，浏览设备信息）等更多信息。
图片.png

（这玩意IP地理位置也不准啊。。。）
而且现在理论上任何满足等级要求论坛用户都可以在自己的签名（帖子我不知道，也有可能），里嵌入相关服务，甚至嵌入一些现在被edge检测并报红的东西。

（2023/9/10编辑：补充增加了一些信息）

树树皆秋色 · 发表于 2023-9-10 09:10:42

并不是任何用户，只有6级以上的用户可以在签名里插入代码，可以实现调用第三方api，并且没有检测机制。上面那位用户调用的是松鼠api，那个还提供了不少其他功能的api。感觉确实有一定的危险性，甚至可能能做到xss注入。

树树皆秋色 · 发表于 2023-9-10 09:11:23

并不是任何用户，只有6级以上的用户可以在签名里插入代码，可以实现调用第三方api，并且没有检测机制。上面那位用户调用的是松鼠api，那个还提供了不少其他功能的api。感觉确实有一定的危险性，甚至可能能做到xss注入。

补充内容 (2023-9-10 09:14):
建议还是增加一些管理机制比如审核签名或者直接禁用签名代码

qwq · 发表于 2023-9-10 11:54:19

还是把签名删掉吧==

jyssysz · 发表于 2023-9-10 16:04:18

树树皆秋色发表于 2023-9-10 09:10
并不是任何用户，只有6级以上的用户可以在签名里插入代码，可以实现调用第三方api，并且没有检测机制。上面 ...

现在网络安全的要求越来越严格，该限制的还是要限制。

jyssysz · 发表于 2023-9-10 16:05:52

树树皆秋色发表于 2023-9-10 09:11
并不是任何用户，只有6级以上的用户可以在签名里插入代码，可以实现调用第三方api，并且没有检测机制。上面 ...

为安全起见，禁止签名也是很稳妥的一种办法了。

909746823 · 发表于 2023-9-10 17:14:42

可以禁用一段时间试试，看红名问题能解决不能

nkc3g4 · 发表于 2023-9-10 19:23:28

暂时禁用了签名代码

[Discuz!] 对论坛被Edge报红可能性的一些猜想