本站在允许 JavaScript 运行的环境下浏览效果更佳


请一定要回复博客下的匿名评论!对于博主和评论者有关匿名评论的倡议

495

背景

很多人在网站评论不注册账号,而是使用匿名评论系统,之后填入自己的昵称邮箱网站 URL 来评论。这其实也是一种署名评论。
然而在我思考后,我意识到这个系统很容易被滥用用来损毁评论者的声誉。
(24.4.27 注解:四个问题+背景补充里提到的大众意识缺乏问题会导致 攻击者可以利用损毁评论者的声誉)
针对这个问题,我提出了解决方法。如有其他的看法,欢迎在评论区友善讨论,或致邮讨论。

2024.4.26 背景补充

当下现状是,用你的昵称,用你邮箱,用你的网站,就能造出一个所谓“你”的评论。以及很多人认为这个“你”的评论真的是”你本人发送的“评论,从而会造成影响。
如果你很早就意识到了这个问题,这表明你在这方面是比较机灵的。事实上,在你眼中的常识或许不是真的常识,一些同志设想的 “不可能有人会看到你的昵称,邮箱,网站就直接认为这就是你本人“ 显然是和现实情况不同的。

很多讨论者在看到文章前想到的都是用专用的非公开邮箱来解决。这就能表明很多人没意识到所谓非公开邮箱,其实在发送评论的那一刹那,就已经泄漏了。

我们应做到不信任网上未经验证的东西,摒弃刻板印象,多沟通,多理解,积极交流沟通,并且相信人与人之间的善意。
最后的解决方法永远都是当面交流确认这是否是他本人发送的内容。

方法论

本文原方法论

思维过程

大多博主朋友们都会开放自己博客的匿名评论。
匿名评论只需要填入昵称邮箱(可选:你的网站 URL是否私发给博主)。

假设有这么一个人,非常讨厌博主甲,也许是现实中讨厌,发现了他的博客,也许是这个博主甲的博客内容让他觉得很不爽。

于是他决定报复这个博主甲。

首先他通过观察这个博主甲友链里面的评论,得知了这个博主a的惯用昵称
博主甲的网站 URL 显然是公开的。
在获取到这些信息后,他着手进行攻击。

如果他的评论邮箱没被暴露

评论时不选择私发给博主

这样攻击者只需要随便填入一个邮箱,并且不填入网站 URL,就可以进行长期的在各个博客的文章下用博主甲的名义进行恶意评论,例如人生攻击(或者不是明显的攻击,而是胡言乱语)。
即使博主回复这个评论,这个博主甲也不能知情。当博主甲知道的时候也许已经对他的声誉造成了较大的损害。

评论时选择私发给博主

被评论的博主没有意识到这个评论也许不是博主甲发的。
或者他只是想要找这个到这个博主甲,就把这个评论发到了某某博客交流群里。
这会导致很多人对博主甲产生偏见。

危害

  1. 破坏博客环境
  2. 损毁博主甲的声誉
  3. 损害被评论博主的心情

小结

因此,一个评论者公布自己的评论用邮箱是有必要的。
这样博主看到了非这个邮箱但是用这个昵称指向这个网站的评论就可以直接删除。

如果他的评论邮箱被暴露(非自己主动公布)

评论时不选择私发给博主

这样攻击者就可以填入邮箱,他的昵称,他的网站 URL,来进行恶意评论,而且被评论的博主看到了昵称邮箱网站都对得上,就认为是博主甲本人亲自评论的。
如果这个博主不回复这个评论,这个博主甲就不能知情有人用了他的名义去发表恶意言论。

这个评论过审后单单从挂在评论区的角度来看,路过的其他阅读者会认为这个博主甲不是什么好人,从而造成了对博主甲的名誉损害。

评论时选择私发给博主

如果被评论的博主认为通过所谓未暴露邮箱确认这是博主甲亲自评论,而不是被人冒用了信息。
之后将这个评论转发到某某博客讨论群,这会导致很多人对博主甲产生偏见。

危害

  1. 破坏博客环境
  2. 损毁博主甲的声誉
  3. 损害被评论博主的心情

小结

因此评论者要主动公布自己的邮箱,让自己的邮箱成为一个公开信息,这样被博主就可以用来确认这是否是你亲自发布的。

另外回复博主甲是有必要的,这样就能通知到博主甲(请确保你的邮箱服务配置正确),给博主甲提供一个澄清的机会,避免造成误解以及进一步的影响。(其实当你第一次评论的时候,你的邮箱就已经被暴露给被评论的博主了)

总结

综上所述,我建议大家依照方法论来应对匿名评论系统可能带来的风险。
这样既有利于维护博客环境,也有利于保护自己以及他人的名誉。
感谢您能阅读到这里,如有其他的看法,欢迎在评论区讨论,或致邮讨论。

2024.4.26 更新

概述

在多平台经过多日的讨论,对于如何解决这个问题,在和大伙的交流中,我脑海中涌现了一些新的想法。另外大伙也有许多不同的想法,我在此一并列出。

以下的四个问题+背景补充里提到的大众意识缺乏问题综合在一起,
会导致攻击者可以利用损毁评论者的声誉

四个问题

四个无邮箱验证纯匿名评论区现存的问题

  1. 站长无法验证这个评论的发送者是否是 邮箱所有者 & 通知邮箱被当做垃圾邮件发送器滥用
  2. 站长无法验证这个评论的发送者是否是 评论所标注站点的博主
  3. 访客无法验证这个评论的发送者是否是 评论所标注站点的博主
  4. 访客无法验证这个评论的内容是否 被篡改

吐槽

博客园随便随机个博客就是没验证码的匿名评论区,这么好的垃圾邮件生产器居然没有攻击者用。

被否决的措施

  1. 强制注册后评论:众多博主认为这有损评论激情

    站长评:的确如此,注册后博主和评论者都需要多管理一个账号。对于路过的单次评论,账号需要填写的一堆东西成本太高了。

  2. Gravatar的邮箱哈希值 & 非公开邮箱

    站长评:当你评论的时候,你的邮箱就已经暴露给被评论的博主了

在不改变目前评论系统的措施

本文原方法论

对于评论者
  1. 在你的站点或其他能证明你身份的地方 公布你的评论用邮箱(用于解决问题 2)
  2. 定期检查垃圾邮件(很多博主通知邮件用的是自己站点做域名,容易进垃圾箱)(用于解决问题 1)
对于博主
  1. 回复你博客文章下的匿名评论(请确保你的邮件通知系统能正常工作)(用于解决问题 1)
  2. 并且 删除\忽视\不过审 邮箱不正确的评论(当然前提是这评论者公布了他的评论用邮箱)(用于解决问题 2)

其他的办法

  1. 由 @GoodBoyboy 提出的给评论加上PGP签名(用于解决问题 2,3,4 博主在站点公布邮箱后可解决问题 1)

    @欧阳桂花 提醒,评论需加入评论位置信息(例:评论时的网址,评论时的时间),否则可能会将验证信息和评论一起搬运到其他站点(例:a站娱乐内容下发哈哈哈哈,被搬运到b站严肃内容下)

    拓展阅读:考虑为您的评论附上PGP签名 | GoodBoyboy 's Blog|惬意小屋-点滴记忆

  2. 使用非对称加密分发你的评论(用于解决问题 2,3,4 博主在站点公布邮箱后可解决问题 1)
  3. 由 @Soulizer 提出的较为经济的解决方案(用于解决问题 1,2,3,4)

    这些确实是问题,但解决的方法可能没有那么简单。从经济的角度来说,为了防范极小概率的不良情况而增加每一次评论的成本,并不划算。

    目前来看,最合理的方式也只能是当自己发现被别人冒名后出面澄清一下。澄清的方式可以是告诉大家,自己通常会从哪几个IP地址发送回复,而这个冒名的回复者不符合这一特征,并且可以邀请近期自己主动评论过的站点的博主作证。

    如果可以的话,甚至可以邀请各位博主搜索这个冒名者的IP地址,揪出这个冒名者的本来面目。

    当然,前提是各位博主需要在各个博客网站保持一定的活跃
    站长评:最终的解决方法依旧是与当事人沟通确认!

  4. 评论用个新邮箱,换个新昵称,不带自己网站。出事了不澄清直接换昵称也行,交流的目的达到了,其他的就无所谓了。(抹除问题的存在,因为你压根不需要别人验证你的评论所有者)
  5. 维护一个公开在线文档。自己在什么时候在什么网站评论了什么都填写在这个文档内。(用于解决问题 1,2,3,4)

新评论系统设想

注:该评论系统的普及需要有一个契机
比如哪天有机器人专收集匿名评论区,用作垃圾邮件发送器

此评论系统仅解决了 博主信任评论者没有被冒充 (也就是解决问题 1,2)
访客信任评论者没有被冒充,内容没有被篡改(也就是问题 3,4),依旧需要评论者提供方法让他人验证:评论所在页面是否正确,评论内容是否被篡改。如 #在不改变目前评论系统的措施 的 1,2,5 条。
同时评论区应注明:本评论区已验证仅代表邮箱被验证,评论所在页面是否正确 和 内容是否被篡改 需访客自行通过评论者提供的方法验证。

评论分为两类

  1. 不填写邮箱的评论,仅可填写昵称不可填写网站

    博主仅需进行内容审核

  2. 填写邮箱的评论,可填写网站,需强制验证邮件归属权

    博主需要审核评论指向的网站是否有公布邮箱,如不符应删除\忽视\不过审

验证邮件归属权的方法有:

  1. 向邮箱发送一封带有验证码的邮件来验证
  2. 在站点发送评论后,向邮箱发送一封带有验证链接的邮件,评论者需要到邮箱点击验证链接后评论方可发送
展开查看 文章修改历史

24.4.27

  • 重新排版,精简语言。标注清楚 4 个存在的问题。并且添加文章注释。

24.4.26 第二次修改

24.4.26 第一次修改

24.4.19

  • 文章初发布