您的用户应得到比Disqus更好的服务

2014年7月29日 by David Farrell

偶尔，本站的读者会联系我们，抱怨我们缺乏评论系统。信息通常是这样的：“我喜欢这个网站，但希望你们能有一个评论区”。一些读者甚至推荐解决方案：“你们应该使用Disqus”，他们说。我们正在考虑为PerlTricks.com添加一个评论系统，但它可能不会是Disqus。本文解释了原因。

什么是Disqus？

Disqus是一个第三方评论系统；你只需在你的页面上添加一些JavaScript代码，当访客的浏览器加载页面时，它会运行代码，从Disqus的服务器获取Disqus界面和任何现有的评论。这使得Disqus易于安装，因此Disqus是一个流行的评论系统（“被超过300万个网站使用”）。

Disqus为网站所有者解决了许多问题：它有一个好的垃圾邮件过滤器，提供通知，身份验证，管理界面，而且外观看起来不错。一些用户也喜欢它：例如，Disqus会在用户收到回复时通知用户。因此，当许多网站所有者面临开发自己解决方案的前景时，Disqus的易于安装使其成为一个自然的选择。Disqus的开发者似乎已经预料到了典型的疑虑；担心您的评论被第三方存储？没问题，您可以在任何时候下载它们。对于时间或成本压力大的网站所有者，Disqus是一个非常有吸引力的提议。

Disqus的缺点

安全性是一个担忧。Disqus的流行使其成为黑客的诱人目标，因为重复的漏洞将对数百万个网站有效。Disqus的漏洞经常被发现，就在上个月，发现了一个远程代码执行漏洞，存在于Wordpress Disqus插件中，导致大约1400万个网站容易受到攻击。2013年12月，一个黑客攻击被发布，允许恶意用户获取任何Disqus用户的电子邮件地址。作为网站所有者，您有责任善待您的用户；然而，Disqus中的安全漏洞可能导致黑客在您的网站上发布恶意代码，攻击在访问网站时用户（跨站脚本攻击）。抛开道德不谈，如果攻击成功，网站所有者可能面临什么样的法律成本呢？

Disqus 基本上是一家营销公司；他们收集大量用户数据并向第三方出售广告。Disqus 跟踪用户在不同网站上的活动——无论他们是否发表评论[1]。一旦用户通过 Disqus 发表了评论，他们就可以被任何其他 Disqus 用户跟踪（“追踪”），并且无法选择退出。如果你觉得这听起来很诡异，那是因为确实很诡异。Disqus 的隐私政策中明确规定，Disqus 将将个人可识别信息（PII）披露给第三方“以提供您所需的服务”，这听起来合情合理，直到你开始质疑为什么 Disqus 需要向第三方共享 PII。同时，Disqus 向第三方公开分享的非 PII 包括：浏览器 cookie 数据、IP 地址、位置和设备标识符。问题在于，一些第三方无处不在，对 Disqus 来说是第三方，但对您的用户来说是第一方，因此非 PII 很快[2]就变成了 PII。你可以争论，网站用户可以使用 NoScript 和 Ghostery 等工具自由阻止 Disqus，这是真的，但这也阻止了评论部分对那些用户显示。如果他们想阅读评论而不被跟踪怎么办呢？

Disqus 提供的大多数功能在其他地方都可以轻松获得；需要防止 XSS 内容？使用HTML::Entities 将所有输出的评论文本进行 HTML 编码。想要防止垃圾邮件？为新用户发表评论添加 CAPTCHA。想要一个看起来不错的评论部分？复制 Disqus 风格（哈哈）。问题是，这些功能并没有捆绑在一个整洁的包中——开发者必须将不同的组件组合成一个解决方案。这被称为软件开发。

作为一名技术专家，我发现 Disqus 和 PHP 之间存在许多相似之处；它们都很容易设置，但你知道使用它们最终会付出代价。历史[3]表明，人类持续地低估风险，在这方面，Disqus 并无不同。网站所有者，不要让 Disqus 的短期便利性战胜你，你的用户应得到更好的服务。但你怎么看？请在下面的评论部分告诉我们。

*J/k 我们在Reddit或Twitter上告诉你。

本文最初发布在PerlTricks.com。