как защититься от fsockopen???

[Фанат]

понятно.
нет, никто не размещает у себя на сайте форму.

Отслеживание пар сессия/ip еще один способ обнаружения ненормальных ситуаций.

нет. отслеживание запросов с одного IP - это один из способов.
а сессии тут не при чем.

 

[korchasa]

Автор оригинала: *****
понятно.
нет, никто не размещает у себя на сайте форму.

Тогда проще. Как вариант извращения - картинка предложенная
Alexandre (привязанная к пользователю через сессию), но описанная в CSS, и вставляемая через JS

нет. отслеживание запросов с одного IP - это один из способов.
а сессии тут не при чем.

Т.е. когда пользователь заходит с разных IP, в пределах одной сессии, это нормально? Хм...хотя такая ситуация возможна только если он не проверит причину отлупа (не понимает отослали его из-за IP, или из-за сессии), и заходит с нового прокси, но забыв сменить сессию. Повторяюсь, только в случае, если нет прямого доступа на форму.

 

[Фанат]

при чем здесь одна сессия?

 

[T.I.M.]

Ой, люди... Хватит спорить... Все, абсолютно все методы, описанные выше могут только затруднить взлом защиты. Если человек будет нацеленно эмулировать передачу данных через форму, то он сможет съэмулировать и всё что вы описали. И captcha, и js, и сессии, вобщем всё можно сломать/подделать. Такой уж протокол передачи данных.
Единственный способ какой я вижу - это использовать защищенное соединение на сайте (SSL). Но с этим нужно разбираться и я не могу дать гарантии что это тоже очень эффективно.

 

[Фанат]

T.I.M.
Я почти всё понял, кроме того, каким образом протокол передачи данных помогает подделать captcha? Не объяснишь поподробнее?

 

[Alexandre]

только не "защитить", а "немного затруднить эмуляцию"
надо быть точнее в формулировках

да, защиты не может быть ни какой (искл. капчу), а вот затруднить можно и нужно.

Самый простой способ регистрация, и подсчет запросов для зарегистрированного пользователя.

повторяю - ни как...
регистрится человек, передает параметры регистрации боту и уже бот регулярно тащит или постит на сайт, то, что ему нужно...

 

[T.I.M.]

Автор оригинала: *****
T.I.M.
Я почти всё понял, кроме того, каким образом протокол передачи данных помогает поддерать captcha? Не объяснишь поподробнее?

Я не говорил что помогает. Я имел ввиду что протокол не определяет никаких способов защиты от несанкционированного использования информации. Тобишь он не то что помогает. А просто не мешает ничему.

 

[Фанат]

понятно

 

[Pigmeich]

Единственный способ какой я вижу - это использовать защищенное соединение на сайте (SSL).

SSL защищает данные от стыривания во время передачи. Но как защиться от ботов помогает?

 

[T.I.M.]

Автор оригинала: Pigmeich
SSL защищает данные от стыривания во время передачи. Но как защиться от ботов помогает?

Если есть желание, пиши бота, который будет ломать SSL-ключ и создавать защищенное соединение с сервером. Правда я еще не видел такого извращения в ремлизованном виде. Если ты не знаешь при чем тут ключ в SSL советую получше почитать про SSL, ведь "защита от стыривания" достигается конкретно путем однозначной идентификации отправителя и получателя и контроля над этим.

 

[Фанат]

T.I.M.
А все посетители сайта тоже должны ломать SSL-ключ?

 

[T.I.M.]

*****
А сертификаты в браузере на что?

 

[kruglov]

T.I.M.
А сертификаты браузером откуда берутся?

 

[T.I.M.]

Я надеюсь вы просто пытаетесь проверить меня...
http://ssl.ru/ru/ssl_technology/#_whatsit

 

[Фанат]

T.I.M.
непонятно, почему бот должен "ломать ключ", а браузер - не должен. в чем разница?

 

[T.I.M.]

Хм... я наверное некорректно выразился... Ведь для того чтобы принять расшифрованную информацию, нужно иметь ключ. Лично я не знаю способа принять сертификат и расшифровать данные ключом из него вещами вроде fsockopen. Может, конечно, кто-то знает, но именно поэтому я написал "я не могу дать гарантии что это тоже очень эффективно.".

 

[Фанат]

Хорошо. Последний вопрос.
Вот ты пишешь:

Если человек будет нацеленно эмулировать передачу данных через форму, то он сможет съэмулировать и всё что вы описали. И captcha, и js, и сессии, вобщем всё можно сломать/подделать.

Какая будет твоя рекомендация - как защищаться от ботов?

 

[T.I.M.]

*****
Защищаться нужно всем чем только возможно. Я, если что, не писал что это всё не нужно. Я писал этот пост по поводу ваших споров о том что эффективнее. Т.е. мой пост не нёс смысла что "все эти способы защиты - полная чушь" а то, что не надо быть наивными что хоть что-то из этого может на 100% защитить от несанкционированного доступа.

 

[Фанат]

То есть, все перечисленные способы равнозначны, и все на данный момент неэффективны?

 

[T.I.M.]

Не надо так привратно понимать мои посты! Я НИГДЕ не писал что они равнозначны, и ,тем более, неэффективны. Более того, если бы я считал что они неэффективны, разве бы я советовал использовать как можно больше из них?