![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Мега-криптография
Nov. 13th, 2006 12:36 pmЧего только не придумают 8-)
Slawa Olhovchenkov -> Artem Chuprina @ Fri, 10 Nov 2006 15:22:22 +0300:
SO>>> Hа некоторое время поможет.
AC>> Ага, пока автор робота ленится посмотреть, что же там с браузером
AC>> происходит... При этом если у него робот ищет формы начиная с первой
AC>> страницы, то у него как раз работать все будет автомагически - роботы
AC>> нынче принять куку вполне себе умеют.
SO> Hичего там не ищут, сразу бомбят через зомбей.
А урлы форм откуда берут?
SO>>> У тебя есть другие предложения? С минимизацией трудозатрат на
SO>>> модификацию имеющихся скриптов и нагрузки на сервер.
AC>> Поскольку я так и не понял до конца, что и от кого надо защищать... "От
AC>> кого" - это в смысле "какую выгоду преследует хозяин робота".
SO> Спамеры. Которые заспамливают всякие доски объявлений и форумы.
Т.е. ты хочешь, чтобы юзер периодически посещал некоторую страницу,
неочевидную для спамерского бота? Пожалуй, у меня есть идея. Эту
страницу генерирует скрипт. Hе обязательно CGI-скрипт - это может быть
статическая страница, обновляемая по крону. Генерирующий скрипт пишет
туда Set-Cookie с оной криптованной кукой. А обработчик формы эту куку
проверяет. Чтобы не ставить юзера совсем уж перед фактом "кука
протухла, а ему об этом сообщили только при постинге" при выводе формы
проверять ее _наличие_ (а время действия, соответственно, не только
криптографически защищать, но и указывать браузеру). В идеале -
выставлять две куки. Одна из которых может не быть защищена
криптографически и протухает, скажем, на пять минут раньше второй. Ее
наличие проверять при выводе формы. Проверять наличие куки можно
каким-нибудь mod_rewrite.
Скрипты при этом менять таки придется. Hо иначе тебе криптография при
каждом запросе сервер пригнет - она, видишь ли, процессора очень хочет.
Hикогда не пробовал по SSL толпой на сервер повалить?
Hо когда автор какого-нибудь бота таки заметит, куда надо сходить за
кукой, тебе, пожалуй, станет обидно. Столько вычислительных ресурсов...
Чем-то мне твой подход микрософтовские потуги с DRM напоминает...
Slawa Olhovchenkov -> Artem Chuprina @ Fri, 10 Nov 2006 15:22:22 +0300:
SO>>> Hа некоторое время поможет.
AC>> Ага, пока автор робота ленится посмотреть, что же там с браузером
AC>> происходит... При этом если у него робот ищет формы начиная с первой
AC>> страницы, то у него как раз работать все будет автомагически - роботы
AC>> нынче принять куку вполне себе умеют.
SO> Hичего там не ищут, сразу бомбят через зомбей.
А урлы форм откуда берут?
SO>>> У тебя есть другие предложения? С минимизацией трудозатрат на
SO>>> модификацию имеющихся скриптов и нагрузки на сервер.
AC>> Поскольку я так и не понял до конца, что и от кого надо защищать... "От
AC>> кого" - это в смысле "какую выгоду преследует хозяин робота".
SO> Спамеры. Которые заспамливают всякие доски объявлений и форумы.
Т.е. ты хочешь, чтобы юзер периодически посещал некоторую страницу,
неочевидную для спамерского бота? Пожалуй, у меня есть идея. Эту
страницу генерирует скрипт. Hе обязательно CGI-скрипт - это может быть
статическая страница, обновляемая по крону. Генерирующий скрипт пишет
туда Set-Cookie с оной криптованной кукой. А обработчик формы эту куку
проверяет. Чтобы не ставить юзера совсем уж перед фактом "кука
протухла, а ему об этом сообщили только при постинге" при выводе формы
проверять ее _наличие_ (а время действия, соответственно, не только
криптографически защищать, но и указывать браузеру). В идеале -
выставлять две куки. Одна из которых может не быть защищена
криптографически и протухает, скажем, на пять минут раньше второй. Ее
наличие проверять при выводе формы. Проверять наличие куки можно
каким-нибудь mod_rewrite.
Скрипты при этом менять таки придется. Hо иначе тебе криптография при
каждом запросе сервер пригнет - она, видишь ли, процессора очень хочет.
Hикогда не пробовал по SSL толпой на сервер повалить?
Hо когда автор какого-нибудь бота таки заметит, куда надо сходить за
кукой, тебе, пожалуй, станет обидно. Столько вычислительных ресурсов...
Чем-то мне твой подход микрософтовские потуги с DRM напоминает...
