Проверка реального адреса страницы, на которой размещен код счетчика

[Abadonna]

Проверка реального адреса страницы, на которой размещен код счетчика

Суть происходящего: имеется система работающая примерно на тех же принципах что и, к примеру, SpyLog. Т.е. клиентам отдается некий HTML код, который должен быть размещен в коде какой либо страницы. При загрузке этой страницы в браузере, код стучится в родную систему, система засчитывает событие.
Суть проблемы: необходимо каким то хитрым образом с максимальной степенью достоверности отследить, что постучавшийся в систему код в самом деле лежит на странице с домена клиента, но не другом домене, IP и т.д.
Сложность: Все проверки могут быть только односторонние, на нашей стороне. Т.е. невозможно заставить клиентов изменять программную часть своих сайтов для активной коммуникации с нашим минуя браузер.

 

[msdn11]

по айпи проверяй название хоста.

 

[Abadonna]

Всё ок, но если бы я знал IP сервера.
Я же знаю только IP браузера.
Существенная разница, однако.

 

[white phoenix]

msdn11
Пора смазку менять
Abadonna
Полностью защитится нельзя т.к. все данные можно легко подделать, проверяй referer.
UPD: еще можно в 'неком HTML' сделать script src=..., а там закодированный javascipt который генерирует специальную строчку, и передает её с запросом в систему учета событий. А там, как я уже сказал проверяй rerefer и эту строчку, она каждый раз разная должна быть.

 

[Abadonna]

UPD: еще можно в 'неком HTML' сделать script src=..., а там закодированный javascipt

Имхо, всякий кодированный JS декодировать можно. :з)
Сам в етом деле практиковался...
Кроме того, если полностью ставить на JS, полностью теряются валидные события при отключенном JS.

Проверять referrer, оно конечно можно, но ненадежно - слишком легко подделывается.

 

[white phoenix]

> Имхо, всякий кодированный JS декодировать можно.
Конечно, а ты налету кодируй, каждый раз разное будет, и коэфициенты в алгоритм каждый раз разные.
> Проверять referrer, оно конечно можно, но ненадежно - слишком легко подделывается.
Да, я же написал "можно легко подделать".
> Кроме того, если полностью ставить на JS, полностью теряются валидные события при отключенном JS.
Тогда может имеет смысл отказаться от защиты вообще? Кроме referer.

 

[Abadonna]

Вообще отказаться нельзя... дурные бабки потерять можно.

 

[white phoenix]

Ну тогда сделай как с кодированым JS, больше защиты не вижу... можно еще на flash сделать (actionscript)

 

[Abadonna]

Оки.
Бум думать дальше...

 

[kruglov]

Здрасьте, приехали... Кто реферер подделывать будет? Посетители сайта все как один?

 

[white phoenix]

Думаю он имеет ввиду защиту от накруток.

 

[Abadonna]

Её, родимую...

 

[kruglov]

Накрутить можно все. Берем 1000 проксей и вперед. И код будет лежать, где нужно, и все такое прочее.

 

[Abadonna]

Гы...
1) прокся долго не живет.
2) каким хитрым образом прокся поможет съэмулировать адрес валидного сервера?
3) у нас пока придумался только 1 приличный вариант - отказаться вообще от кода счетчика и общаться с серверами клиентов по HTTPS напрямую. Вот только клиенты на ето не пойдут... :з(

 

[kruglov]

Abadonna
1) Долго живут постоянно обновляющиеся списки проксей.
2) А чего там эмулировать? Шлю валидный запрос проксе, она транслирует его на счетчик. Какие проблемы?
3) Да, трудно вам...

 

[Abadonna]

Проблемы такие, что нас не колебёт сколько запросов придет с одного IP. Т.е. с проксями можно и не заморачиваться. Нас колебёт, определить что поступление запроса соответствует реальной загрузке определенной страницы с сервера клиента.

 

[IntenT]

Abadonna
если тут пахнет деньгами - будут накрутчики
защититься от грамотной накрутки в предлагаемом тобой варианте нельзя. Можно постфактум "определить" (читай "постановить") что накрутка была и попробовать оценить ее величину.

защититься от попадания на деньги можно грамотно продуманным полиси, по которому ты всегда прав и ни перед кем не отчитываешься, и согласие с которым есть условием участия в счетчике.

 

[kruglov]

Abadonna
Вы принципиально не сможете отличить браузер пользователя от скрипта накрутчика (варианты с исполнением JS затруднят жизнь уж совсем непродвинутым накрутчикам).

Поэтому sms-сайты и прочие гугли используют картинки с зашумленными надписями (которые, конечно, не для нашего случая).

 

[Abadonna]

kruglov
Знаю... :з(
Надеялся, правда, что чего-то ценного таки не знаю... :з)