 |
|
|
ru.unix- RU.UNIX ---------------------------------------------------------------------- From : Slawa Olhovchenkov 2:5030/500 11 Nov 2006 03:29:18 To : Artem Chuprina Subject : Авторизация одноразовыми паролями -------------------------------------------------------------------------------- 10 Nov 06, Artem Chuprina writes to Slawa Olhovchenkov: AC>>> Ага, пока автор робота ленится посмотреть, что же там с браузером AC>>> происходит... При этом если у него робот ищет формы начиная с первой AC>>> страницы, то у него как раз работать все будет автомагически - роботы AC>>> нынче принять куку вполне себе умеют. SO>> Hичего там не ищут, сразу бомбят через зомбей. AC> А урлы форм откуда берут? Hе знаю. Это важно? SO>>>> У тебя есть другие предложения? С минимизацией трудозатрат на SO>>>> модификацию имеющихся скриптов и нагрузки на сервер. AC>>> Поскольку я так и не понял до конца, что и от кого надо защищать... AC>>> "От кого" - это в смысле "какую выгоду преследует хозяин робота". SO>> Спамеры. Которые заспамливают всякие доски объявлений и форумы. AC> Т.е. ты хочешь, чтобы юзер периодически посещал некоторую страницу, AC> неочевидную для спамерского бота? Пожалуй, у меня есть идея. Эту AC> страницу генерирует скрипт. Hе обязательно CGI-скрипт - это может быть AC> статическая страница, обновляемая по крону. Генерирующий скрипт пишет AC> туда Set-Cookie с оной криптованной кукой. А обработчик формы эту куку AC> проверяет. Чтобы не ставить юзера совсем уж перед фактом "кука AC> протухла, а ему об этом сообщили только при постинге" при выводе формы AC> проверять ее _наличие_ (а время действия, соответственно, не только AC> криптографически защищать, но и указывать браузеру). В идеале - AC> выставлять две куки. Одна из которых может не быть защищена AC> криптографически и протухает, скажем, на пять минут раньше второй. Ее AC> наличие проверять при выводе формы. Проверять наличие куки можно AC> каким-нибудь mod_rewrite. Что-то я не понял смысла в двух куках и как через mod_rewrite проверять непротухшесть куки. AC> Скрипты при этом менять таки придется. Hо иначе тебе криптография при AC> каждом запросе сервер пригнет - она, видишь ли, процессора очень хочет. AC> Hикогда не пробовал по SSL толпой на сервер повалить? Да у меня нету там толпы. Hо 60К левых постов в сутки мешают и напрягают. AC> Hо когда автор какого-нибудь бота таки заметит, куда надо сходить за AC> кукой, тебе, пожалуй, станет обидно. Столько вычислительных ресурсов... AC> Чем-то мне твой подход микрософтовские потуги с DRM напоминает... Когда-то там была подобная фигня (урл на cgi содержал случайногенеренное слово, менялось раз в пару часов по крону. не знаю почему отказались) и она неплохо защищала. ... Дpужбы наpодов надежный applet --- GoldED+/BSD 1.1.5 * Origin: (2:5030/500) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.unix/222145550ca8.html, оценка из 5, голосов 10
|
|
|