允许用户生成内容的站点。

Question

是否有一种方法可以确定哪些流行网站将托管任意用户生成的内容？

我正在做一些分析，以检测钓鱼网站。利用网站的受欢迎程度来清除那些最有可能不是网络钓鱼网站的网站将是一件好事。例如，Google.com和Amazon.com不太可能托管一个钓鱼网站。因此，非常受欢迎的网站可能被认为是可信的。然而，如果一些流行网站允许托管任意的用户内容，那么受欢迎程度并不是信任的完美代理。例如，Wordpress.com、Github.io、Googleusercontent.com和Wix.com可能不应该被认为是可信的，因为它们承载用户生成的内容，因此可以用来承载钓鱼攻击。

是否有办法取得这类网站的清单？我只关心这个最受欢迎的网站(例如，Alexa前1000左右)。是否有提供此信息的网站声誉或信任评级服务？

Answer 1

在最基本的层面:不。任何网站都可以选择托管任何内容，并且具有不同级别的用户生成内容的卫生条件，以及不同级别的安全性。甚至连谷歌也有可以用来钓鱼的服务，不管实际这么做有多大的挑战性。即使一个站点不允许，也会有一些攻击，如DNS中毒、SQL注入、升级攻击等等，这些攻击可能会使通常安全的站点处于恶意状态。就连NASA自己的网站也曾遭到黑客攻击，如果攻击者有意的话，可能会造成很大的破坏。

Answer 2

研究以更好地理解、记录和防止网络钓鱼当然是可取的，但我要重复前面的答案，在领域一级，如果不进行内容分析，这可能是不可能的，因为它等于证明一个不存在的负面、完整的信息。

企业交付的内容中是否存在用户生成的内容，这就需要在隐私政策中作出更多规定，特别是援引一些法律，保护企业免受基于用户创造的不代表企业政策的内容的诉讼。

可能有可能分析隐私政策的语料库，并确定哪些政策建议用户生成的内容，但这只是映射到企业，而不是领域。

生成企业拥有的域和子域的完整列表是一门艺术，因为这些信息不是明确公开的，必须在或推断出来。在特定领域中，给定的策略可能适用于企业拥有的、最终对策略负责的许多领域，而不一定具体适用于其所在领域。

因此，人们可以说，在这些由商业Y所有的X域上，有一些UGC，因为隐私政策是这么说的，但是没有政策来强制确定UGC只在A域上，而不是在B域上。

域本身用浏览器表示信任边界，对于参与的域，可以进行一些分析，以确定域建立的信任圈中考虑了哪些额外的资源。例如，许多域“信任”jquery或其他第三方javascript托管站点--这意味着这些站点成为劫持者分发恶意软件或进行phish攻击的目标。但这本身并不反映用户生成的内容是否存在。

许多网站的广告当然是流量，这是一个主要的网络钓鱼和恶意软件交付工具。人们甚至可以穷尽地抓取一个站点来确定它是否提供广告，但如果它确定一个机器人正在访问，它可能决定不向特定的客户发送广告标签，因为这样做会对广告交付和收入的重要指标产生影响。

网络钓鱼网站可以隐藏在URL缩短器的层层后面，这些网站还可以实时决定向哪些访问者提供哪些链接，因此即使是在UGC中存在链接也不一定是一个简单的指标。

最后，在流行的背景下- google.com绝对可以托管钓鱼内容，因为用户生成的内容在google.com域中提供的搜索结果中返回。