关于泄露邮箱，ip的安全问题

[yiyungent]

如题，Valine 会将 评论者邮箱、ip等 直接通过 api 暴露出来，任何人都可以看到，
请问，

1. waline 也会这样吗？由于没看到 waline 评论，所以也无法验证
2. 看到 README 中有写 Really Safe，想问下 waline 相较于 Valine 安全在哪些方面吗？做了哪些改进？

下图为 Valine 获取评论 api 截图

谢谢！很棒的项目，正在考虑是否转到 waline 上

[lizheming]

1. 造成 Valine 的这些数据的泄露目前主要是没有服务端的原因，导致前端可以直接读库。Waline 因为增加了一层服务端作为中间层的原因，所以从原理上规避了这个问题。Waline 的评论列表接口不会返回用户的敏感信息，例如 IP，而邮箱仅返回了 md5 后的值用于前端显示 Gravatar，User Agent 则只返回解析后的前端需要显示的操作系统及浏览器信息。
2. https://waline.js.org/why.html 关于第二个问题可以看一下这篇文章，相信你的绝大多数问题能回答上。当然 Really Safe 多少有点夸大的成分，只要是项目我相信或多或少都是有问题的。但是我主要想表达的是我们从原理上是没毛病的，即使有 Bug 那也是越改越少的那种。

[lizheming]

另外前段时间发生了 Valine 大量垃圾评论灌入的事件（灌入的垃圾广告是用来“宣传” Waline 的，但不是我做的哈），主要也是由于：

1. Valine 可以直接对数据入库，所有的数据都可以伪造
2. 没有服务端所以没办法对行为进行限制，只要开放了任意用户写库的权限，那基本上就等着库被刷爆吧 😢

Waline 的话因为有服务端，虽然因为匿名的原因大部分数据还是可以伪造的，不过 IP 的获取是相对真实的（这个伪造比较难）。后期还会加入登录评论相关的策略。另外 Waline 因为有服务端，所以可以对用户行为进行限制，包括：

1. Akimset 垃圾评论过滤
2. IP 频率控制（默认60秒）
3. IP 黑名单策略自定义
4. 关键词策略自定义
5. 重复内容过滤

[ghost]

请问以下5类已经在服务端实现了吧？对用户来说已经是透明的是吧？

Akimset 垃圾评论过滤

IP 频率控制（默认60秒）

IP 黑名单策略自定义

关键词策略自定义

重复内容过滤

[lizheming]

请问以下5类已经在服务端实现了吧？对用户来说已经是透明的是吧？

Akimset 垃圾评论过滤

IP 频率控制（默认60秒）

IP 黑名单策略自定义

关键词策略自定义

重复内容过滤

可以看一下文档，都有相关的配置可以配置了的

[ghost]

麻烦给个文档链接，谢谢！

[lizheming]

麻烦给个文档链接，谢谢！

https://waline.js.org/reference/server.html#%E7%8E%AF%E5%A2%83%E5%8F%98%E9%87%8F

[yiyungent]

感谢回复！
果然真的很棒！我想我应该会很快更换到 Waline，希望能尽快支持 NexT，通过插件方式也不错！（好吧，虽然自己加进去也很容易）
当然，如果能有下方这些就更好了

1. 自定义关闭 User Agent（对于我这种追求简洁来说，真没什么必要，我想也不是谁都想要展示自己）
2. 评论仅作者可见（不知道这个能实现不，没懂 REEADME 中 Login support 与 Social account login 有啥区别，并没有看到登录）

[lizheming]

1. NexT 的我已经提了 PR 了，作者看来因为之前的垃圾评论的事件对这个 PR 的合并比较抗拒。如果过段时间还没有合并的话，我这边会考虑出一个 NexT 插件的。
2. 可以，之后我加一下吧。这个今天有其它用户提了，我觉得没什么必要就回绝了。如果都需要的话那我加一下。
3. Login Support 说的是后台管理的登陆支持，Social account login 说的是社交账号登录评论。不过登录评论相关的需求在 TODO 中，目前暂没有实现。评论仅作者可见，目前比较快速的实现方案是：
   1. 作者在后台看评论，前台只留输入框。
   2. 评论增加审核的环节，所有的评论发布都进入待审核列表，作者通过待审核列表查看。

不过我个人觉得这个需求意义不是很大，如果只是单向的留言的话，那通过个人信息就可以了。评论还是需要公开给大家一个交流的地方比较好。