TL;DR
blog.haus為了增长,全面允许非会员评论。
因为与垃圾邮件相比,对话的中断更可怕。
因此,我们采取了成本效益最大化的逐步防御策略(80%规则),从Honeypot到LLM。
“为了发表一条评论必须注册会员吗?”
最近在构建blog.haus时,最长时间困扰我的问题。
技术上最简单的方法显而易见。那就是仅限会员评论。
无需担心垃圾邮件,实现简单,数据也干净。
但在服务初期,为了一条评论而要求登录,实际上等同于宣布“请不要评论”。
事实上,我自己在尝试在其他服务上发表评论时,
看到注册页面就关闭标签的情况不止一两次。
因此,我做出了决定。
我们决定开放非会员评论。
现在需要的是“开始对话”而不是“完美的防御”
博客不是博物馆。
问题和答案的交流使空间变得生动。
当然,非会员评论=垃圾邮件这个公式太过明显。
但害怕未到的机器人自行切断与读者的联系,我认为这是被动的做法。
我的策略很明确。
不要超前解决问题。
根据现实逐步应对。
逐步防止垃圾邮件逻辑:80%法则
我们准备了一个以感知防御率80%为基准的3阶段逻辑。
在初始服务阶段,固执地追求100%的防御
会牺牲用户体验,是过度投资,
成本效益急剧下降的临界点。
第一阶段:隐形轻量级防御
目标是将用户不便降至0。
Honeypot字段
人类绝不会触摸,但机器人习惯填写的隐藏输入框。
一种机器人会上钩的诱饵。提交时间验证
在加载表单后3秒内提交的评论被视为非人类。
第二阶段:积极防御(流量增加时)
当垃圾邮件开始出现在用户视野时,我们会改变策略。
- Cloudflare Turnstile
在不要求用户回答问题的情况下,强力地拦截机器人。
第三阶段:智能阻止(成熟期)
这是服务发展后的故事。
- 基于LLM的鉴别
通过AI实时判断文本上下文中是否为垃圾邮件。
我想要创建的评论系统的本质
不为了安全而放弃对话。
对人类尽可能宽容
对机器人尽可能疲惫
系统能够自行运行,无需管理员常驻监视
这就是我认为的成长中服务的安全。
您有什么想法?
非会员评论真的是垃圾邮件的地狱吗,
还是隐藏的机会?
事实上,我并不确定这种方式就是完美的答案。
如果您认为我可能忽略了风险,
或者有类似尝试中的经验教训,请随时分享您的意见。
您的建议将使blog.haus变得更加坚固。
(无需登录。)
常见问题(FAQ)
非会员评论中最有效的初始防垃圾邮件方法是什么?
不损害用户体验的Honeypot字段和提交时间验证最为有效。
利用机器人的机械操作特性,可以阻止大部分初始垃圾邮件。
为什么选择80%法则而不是100%安全?
安全性和便利性是一种权衡关系。
即使在初始阶段允许20%的松懈,
确保80%有意义的对话对服务增长更有利。
