วิธีที่ดีที่สุดที่จะลงโทษผู้ส่งอีเมลขยะ? ฉันให้ความคิดกับหัวข้อนี้มากเพราะฉันใช้เวลามากในการกลั่นกรองขยะไม่รู้จบที่พวกเขาส่งมาให้ฉัน และนั่นคือตอนที่ฉันนึกขึ้นได้ การลงโทษควรจะเหมาะสมกับอาชญากรรม – เป็นการ ขโมยเวลาของฉัน – ซึ่งหมายความว่าในทางกลับกันฉันต้องขโมยเวลาของพวกเขา ด้วยค่าใช้จ่ายที่น้อยที่สุดในช่วงเวลา ของฉัน แน่นอน ดังนั้น เมื่อต้นปีนี้ ฉันได้สร้าง Password Purgatory โดยมีเป้าหมายเดียวคือส่งผู้ส่งอีเมลขยะผ่านนรกที่พยายามตอบสนองเกณฑ์ความซับซ้อนของรหัสผ่านที่น่ารังเกียจจริงๆ และฉันหมายถึงเกณฑ์ที่น่ารังเกียจ จริงๆ แย่กว่าที่คุณเคยเห็นมาก่อน ฉันเปิดแหล่งที่มา ใช้ PR จำนวนมาก สร้าง API เพื่อนำเสนอเกณฑ์ความซับซ้อนของรหัสผ่านที่ไร้สาระมากขึ้นเรื่อยๆ จากนั้นจึงปล่อยทิ้งไว้ที่นั้น จนตอนนี้ เพราะสุดท้ายก็ไลฟ์ ทำงาน สวยดุร้าย 😈
ขั้นตอนที่ 1: รับสแปม
ง่ายนิดเดียว – ฉันไม่ต้องทำอะไรในขั้นตอนนี้! แต่ให้ฉันใส่มันลงในบริบทและให้ตัวอย่างในโลกแห่งความเป็นจริงแก่คุณ:
ฮึ. สิ่งที่น่ารังเกียจ ตกนรกสำหรับพวกเขา และทุกอย่างเริ่มต้นด้วยการจัดเก็บสแปมลงในโฟลเดอร์พิเศษที่เรียกว่า “ส่งผู้ส่งอีเมลขยะไปยังการล้างรหัสผ่าน”:
นั่นคือขอบเขตของงานที่เกี่ยวข้องกับสแปมโดยสแปม แต่ให้ปิดหน้าปกและดูว่าเกิดอะไรขึ้นต่อไป
ขั้นตอนที่ 2: ทริกเกอร์ Microsoft Power Automate Flow
Microsoft Power Automate (ก่อนหน้านี้คือ “Microsoft Flow”) เป็นวิธีที่เรียบร้อยมากในการเรียกใช้ชุดการดำเนินการตามเหตุการณ์ และมีตัวเชื่อมต่อจำนวนมากในตัวเพื่อทำให้ชีวิตง่ายขึ้นมาก ง่ายสำหรับเราในฐานะผู้พัฒนา กล่าวคือ ง่ายน้อยกว่าสำหรับนักส่งสแปม เพราะนี่คือสิ่งที่จะเกิดขึ้นทันทีที่ฉันส่งอีเมล์ในโฟลเดอร์ดังกล่าว:
การใช้ตัวเชื่อมต่อในตัวกับบัญชีอีเมล Microsoft 365 ของฉัน การมีอยู่ของอีเมลใหม่ในโฟลเดอร์นั้นจะทริกเกอร์อินสแตนซ์ใหม่ของโฟลว์ ต่อไปนี้ ฉันได้เพิ่มตัวเชื่อมต่อ “HTTP” ซึ่งช่วยให้ฉันส่งคำขอขาออกได้:
คำขอทั้งหมดนี้ทำให้ POST ไปยัง API บน Password Purgatory ที่เรียกว่า “create-hell” มันส่งผ่านคีย์ API เพราะฉันไม่ต้องการให้ใครก็ตามส่งคำขอเหล่านี้เพราะมันจะสร้างข้อมูลที่จะคงอยู่ใน Cloudflare พูดถึงเรื่องนั้น มาดูกันว่าเกิดอะไรขึ้นที่นั่น
ขั้นตอนที่ 3: โทรหา Cloudflare Worker และสร้างบันทึกใน KV
มาเริ่มกันที่ประวัติ: ย้อนกลับไปในอดีตที่ไม่ไกลเกินไป Cloudflare ไม่ใช่โฮสต์และเพียงแค่ย้อนกลับคำขอพร็อกซี่ผ่านไปยังบริการต้นทางและทำสิ่งดีๆ กับพวกเขาไปพร้อมกัน สิ่งนี้ทำให้ การเพิ่ม HTTPS ลงในเว็บไซต์ใดๆ ก็ตามเป็นเรื่องง่าย (และฟรี) เพิ่มฟังก์ชัน WAF จำนวนมาก และช่วยให้เราทำสิ่งที่ยอดเยี่ยมด้วยการแคช แต่นี่คือความเจ๋ง ระหว่างการเดินทางทั้งหมด ใน ขณะที่ตรรกะของแอป ข้อมูล และฐานโค้ดจำนวนมากนั่งอยู่ที่ไซต์ต้นทางนั้น Cloudflare Workers เริ่มเปลี่ยนแปลงสิ่งนั้น และทันใดนั้น เราก็มีโค้ด ที่ Edge ทำงานในโหนดหลายร้อยแห่งทั่วโลก ดีและใกล้ชิดกับผู้เยี่ยมชมของเรา นั่นเริ่มทำให้ Cloudflare เป็น “โฮสต์” หรือไม่? อืม… แต่ข้อมูลนั้นยังคงอยู่ในบริการต้นทาง (การแคชชั่วคราวกัน) กรอไปข้างหน้าจนถึงตอนนี้และมี ตัว เลือกมากมายในการจัดเก็บข้อมูลบน Edge ของ Cloudflare รวมถึง บริการ R2 (เบต้าในปัจจุบัน) , วัตถุที่ทนทาน , ฐานข้อมูล D1 SQL (ที่กำลังจะมีขึ้น) และที่สำคัญที่สุดในบล็อกโพสต์นี้ Workers KV สิ่งนี้ทำให้พวกเขาเป็นโฮสต์หรือไม่หากตอนนี้คุณสามารถสร้างแอพทั้งหมดภายในสภาพแวดล้อมของพวกเขา อาจจะใช่ แต่ให้ข้ามหัวข้อไปก่อนแล้วเน้นที่โค้ด
รหัสทั้งหมดที่ฉันจะอ้างถึงในที่นี้คือโอเพ่นซอร์สและมีให้ใน ที่เก็บรหัสผ่านสาธารณะ Purgatory Logger Github เร็วมากในไฟล์ index.js ที่ทำงานได้ทั้งหมด คุณจะเห็นฟังก์ชันที่เรียกว่า “createHell” ซึ่งถูกเรียกเมื่อขั้นตอนโฟลว์ด้านบนทำงาน รหัสนั้นสร้าง GUID จากนั้นจัดเก็บไว้ใน KV หลังจากนั้นฉันสามารถดูได้ง่ายในแดชบอร์ด Cloudflare:
ยังไม่มีค่าใด ๆ เป็นเพียงคีย์และส่งคืนผ่านการตอบกลับ JSON ในคุณสมบัติที่เรียกว่า “kvKey” หากต้องการอ่านย้อนกลับในโฟลว์ ฉันต้องการขั้นตอน “Parse JSON” พร้อมสคีมาที่ฉันสร้างจากตัวอย่าง:
ณ จุดนี้ ตอนนี้ฉันมี ID ที่ไม่ซ้ำในที่เก็บข้อมูลถาวรและพร้อมใช้งานในโฟลว์ ซึ่งหมายความว่าถึงเวลาที่จะส่งอีเมลถึงนักส่งสแปม
ขั้นตอนที่ 4: เชิญผู้ส่งสแปมไปที่นรก
เนื่องจากเป็นการไม่สุภาพที่จะไม่ตอบกลับ ฉันต้องการส่งอีเมลกลับไปยังผู้ส่งสแปมและเชิญพวกเขามา ที่ แบบฟอร์มการลงทะเบียนพิเศษของฉัน ในการทำเช่นนี้ ฉันได้จับตัวเชื่อมต่อ “ตอบกลับอีเมล” และป้อน kvKey ผ่านไปยังไฮเปอร์ลิงก์:
เป็นอีเมล HTML ที่มีคีย์ซ่อนอยู่ภายในแท็กไฮเปอร์ลิงก์ จึงไม่ดูแปลกจนเกินไป การใช้ตัวเชื่อมต่อนี้หมายความว่าเมื่อส่งอีเมล ดูเหมือนว่าฉันสร้างมันขึ้นมาเองด้วยความรัก:
เมื่อดำเนินการโฟลว์ทั้งหมดแล้ว เราสามารถดูประวัติของแต่ละขั้นตอนและดูว่าข้อมูลย้ายไปมาอย่างไร:
ตอนนี้เราเล่นเกมรอกัน😊
ขั้นตอนที่ 5: บันทึกความเจ็บปวดของผู้ส่งสแปม
การเสียเวลาสแปมเมอร์ในตัวมันเองเป็นเรื่องที่ดี ทำให้พวกเขาเจ็บปวดโดยให้พวกเขาพยายามผ่านเกณฑ์ความซับซ้อนของรหัสผ่านที่ไม่ชัดเจนมากขึ้นเรื่อยๆ จะดีกว่า แต่สิ่งที่ดีที่สุด – ความเจ็บปวด – คือการบันทึกความเจ็บปวดนั้นและแชร์ต่อสาธารณะเพื่อความบันเทิงโดยรวมของเรา 🤣
ดังนั้น เมื่อไปที่ลิงก์ นักส่งสแปมจะจบลง ที่นี่ (คุณสามารถติดตามลิงก์นั้นและลองเล่นดู):
kvKey ถูกส่งผ่านสตริงการสืบค้นและหน้าเชิญผู้ส่งอีเมลขยะให้เริ่มกระบวนการเป็นพันธมิตร สิ่งที่พวกเขาต้องการทิ้งไว้คือที่อยู่อีเมล…และรหัสผ่าน จากนั้นหน้านั้นจะฝัง 2 สคริปต์จากเว็บไซต์ Password Purgatory ซึ่งคุณสามารถพบได้ใน โอเพ่นซอร์สและที่เก็บ Github สาธารณะที่ฉันสร้างขึ้นในโพสต์บล็อกดั้งเดิม ความพยายามในการสร้างบัญชีแต่ละครั้งจะส่ง รหัสผ่าน ไปยัง Password Purgatory API เดิมที่ฉันสร้างเมื่อหลายเดือนก่อนเท่านั้น หลังจากนั้นจะตอบกลับด้วยเกณฑ์ชุดถัดไป แต่ความพยายามในแต่ละครั้งยังส่งทั้งเกณฑ์ที่นำเสนอ (ไม่มีในครั้งแรก แล้วสิ่งที่แปลกประหลาดมากขึ้นในแต่ละครั้งต่อไป) รหัสผ่านที่พวกเขาพยายามใช้เพื่อให้เป็นไปตามเกณฑ์ และ kvKey เพื่อให้สามารถเชื่อมโยงทั้งหมดเข้าด้วยกันได้ หมายความว่ารายการ Cloudflare Workers KV ที่สร้างขึ้นก่อนหน้านี้จะค่อยๆ สร้างขึ้นดังนี้:
มีเงื่อนไขเล็กน้อยสองสามข้อที่สร้างขึ้นในรหัส:
- หากส่ง kvKey ในคำขอบันทึกที่ไม่มีอยู่จริงบน Cloudflare จะมีการส่งคืน HTTP 404 ทั้งนี้เพื่อให้แน่ใจว่าแรนโดจะไม่พยายามส่งบันทึกขยะไปยัง KV
- เมื่อรหัสผ่านแรกเข้าสู่ระบบแล้ว จะมีหน้าต่าง 15 นาทีสำหรับบันทึกรหัสผ่านเพิ่มเติม เหตุผลมีสองเท่า: ประการแรก ฉันไม่ต้องการแชร์ความพยายามของนักส่งสแปมในที่สาธารณะ จนกว่าฉันจะมั่นใจว่าไม่สามารถบันทึกรหัสผ่านได้อีกในกรณีที่พวกเขาเพิ่ม PII หรืออย่างอื่นที่ไม่เหมาะสม ประการที่สอง เมื่อพวกเขาทราบค่าของ kvKey ผู้ที่ไม่ใช่สแปมเมอร์ก็สามารถเริ่มส่งบันทึกได้ (เช่น เมื่อฉันทวีตในภายหลังหรือแบ่งปันผ่านโพสต์ในบล็อกนี้)
นั่นคือทุกอย่างที่จำเป็นเพื่อล่อให้นักส่งสแปมเข้ามาและบันทึกความเจ็บปวดของพวกเขา ตอนนี้เพื่อความสนุกจริงๆ 😊
ขั้นตอนที่ 6: สนุกกับการสนุกสนานไปกับ Spammer Pain
ครั้งแรกที่พยายามใช้รหัสผ่านของผู้ส่งอีเมลขยะเข้าสู่ระบบ Cloudflare Worker จะส่งอีเมลถึงฉันเพื่อแจ้งให้เราทราบว่าฉันมีนักส่งสแปมรายใหม่ติดยาเสพติด ( ความสามารถนี้โดยใช้ MailChannels เปิดตัวในปีนี้เท่านั้น ):
ฉันรู้สึกตื่นเต้นมากที่ได้รับอีเมลนี้เมื่อวานนี้ ฉันสาบานได้เลยว่ามันเหมือนกับการได้ปลาในสายของคุณ! ลิงก์นั้นเป็นลิงก์ที่ฉันสามารถแชร์เพื่อแสดงความเจ็บปวดของนักส่งสแปมให้โลกได้เห็น สิ่งนี้ทำได้ด้วยเส้นทาง Cloudflare Workers อื่นที่ดึงบันทึกสำหรับ kvKey ที่กำหนด และจัดรูปแบบอย่างเรียบร้อยในการตอบกลับ HTML :
อ่า พอใจแล้ว 😊 ฉันระบุระยะเวลาที่ผู้ส่งอีเมลขยะเผาโดยมีเป้าหมายเพื่อปรับแต่งเกณฑ์ความซับซ้อนเพิ่มเติมในอนาคตเพื่อพยายามทำให้พวกเขา “ติด” ได้นานขึ้น ข้อกำหนดสำหรับรหัสไปรษณีย์ของสหรัฐอเมริกาในรหัสผ่านนั้นมีความเฉพาะเจาะจงทางภูมิศาสตร์เล็กน้อยหรือไม่? เวลาจะบอกได้ และฉันขอต้อนรับ PRs อย่างสุดใจสำหรับเอฟเฟกต์นั้นใน Password Purgatory API repo ดั้งเดิม
โอ้ – และเพื่อให้แน่ใจว่าการลากและการเปิดรับแสงสูงสุดมีการ์ด Twitter ที่จัดรูปแบบอย่างประณีตซึ่งรวมถึงเกณฑ์และรหัสผ่านสุดท้ายที่ใช้ คุณรู้ไหม การ์ดที่ทำลายจิตวิญญาณของผู้ส่งอีเมลขยะในที่สุดและทำให้พวกเขายอมแพ้:
นักส่งสแปมได้เผารหัสผ่านทั้งหมด 80 วินาที 😈 #PasswordPurgatory https://t.co/VwSCHNZ2AW
– ทรอยฮันท์ (@troyhunt) 3 สิงหาคม พ.ศ. 2565
สรุป
เห็นได้ชัดว่าฉันมีความสุขมากที่ได้ยุ่งกับคนส่งสแปม และฉันหวังว่าคุณจะทำเช่นกัน ฉันต้องพูดตามตรง – ฉันไม่เคยตื่นเต้นมากที่จะอ่านอีเมลขยะของฉัน! แต่ฉันก็สนุกกับการรวมสิ่งนี้ไว้ด้วยกันกับ Power Automate และ Workers KV ฉันคิดว่ามันยอดเยี่ยมมากที่คุณสามารถดึงแอปมารวมกันแบบนี้ด้วยการผสมผสานการกำหนดค่าบนเบราว์เซอร์พร้อมโค้ดและพื้นที่เก็บข้อมูลที่ทำงานโดยตรงใน Edge ที่กระจายไปทั่วโลกหลายร้อยแห่ง โหนดทั่วโลก ฉันหวังว่านักส่งสแปมจะชื่นชมความสง่างามของสิ่งนี้ 🤣
