как защититься от fsockopen???

[Фанат]

Дело в том, что некоторые из них не представляют вообще никакой защиты, а другие - на данном этапе развития человечества, являются вполне эффективными.

Скажи, в чем смысл твоих замечаний, которые растянулись на целую страницу? Сухой остаток? практическая польза - какая? Какой вывод должен сделать читатель?

 

[Pigmeich]

Ведь для того чтобы принять расшифрованную информацию, нужно иметь ключ. Лично я не знаю способа принять сертификат и расшифровать данные ключом из него вещами вроде fsockopen. Может, конечно, кто-то знает, но именно поэтому я написал "я не могу дать гарантии что это тоже очень эффективно.".

Вопросы приема сертефикатов и их использования разрешаются чтением спецификаций SSL и HTTPS.

Шифровать/дешифровать даже через сокеты не шибко сложное, чем полностью эмулировать JS.

А еще есть брутфорс: берем любой open source браузер подерживающий нужную технологию и автоматизируем его.

Лично я не знаю способа принять сертификат и расшифровать данные ключом из него вещами вроде fsockopen

Мануал с разделом OpenSSL Functions украли голодные индусы, видимо. А Google с офигительными возможностями поиска по "RFC SSL" и выдаваемым на первой странице RFC 2818 - угнали кулл хацкеры.

 

[T.I.M.]

Ужас... По-моему кому-то нужно учиться понимать других. Все мои посты, "растянувшиеся на страницы" - ответы на вопросы разного рода придир (не буду тыкать пальцем). Весь смысл я уместил в ОДНОМ посте. Это уже вы начали расспрашивать про всякую фигню.
Фaнaт
Можешь потереть их все нафиг если так уж очень хочется. Практическая польза 80% тех сообщений - объяснить мои слова таким как ты.
Pigmeich
Я совершенно не знаком со спецификациями SSL и HTTPS. Поэтому и писал о своей неосведомленности. Изучать и вникать в них, изобретать что-то и исследовать не имею возможности на данный момент. ПОЭТОМУ и писал что "возможно кто-то знает как это сделать".

 

[Фанат]

я удалю.
но не потому, что ты такой непонятый никем гений.
а потому, что смысла в твоем самом первом сообщении - 0.
В нем ты охаиваешь вполне работоспособные сопобы, заявляя о том, что ни один из них не годится. А в качестве альтернативы предлагаешь технологию, о которой слышал краем уха, и которая вообще не имеет отношения к обсуждаемому вопросу.

То есть, практической ценности в твоем ответе нет.

Дальнейшие попытки объяснить тебе твои заблуждения успеха не имели. То есть, образовательной ценности диалог тоже не имеет.

Впредь старайся писать о вещах, в которых хоть немного разбираешься.

 

[fast2111]

Цель: Сервисы сайта только через браузер.
Еще вариант извращения:
Вся логика сайта на JS + http://assl.sullof.com/assl/, т.е. Ajax
Да про это уже говорилось.
Pigmeich

А еще есть брутфорс: берем любой open source браузер подерживающий нужную технологию и автоматизируем его.

Можно во как:
1. Обычный браузер. Пишем бота на JS который будет управлять исходным JS. Например используя iframe. (наверно возможно)
2. Любимый IE и COM технология

Здесь много подводных камней
Да от варианта 1. можно защищаться на уровне того же JS, а вот от варианта Pigmeich и 2 очень сложно защититься как и их реализовать.

просто мой, очердной бред

 

[Stalone]

тема интересная))
по поводу капчи, думаю пользователи разбегутся в ужасе, если на простом входе на сайт им каждый раз надо будет вводить какие-то буквы или цифры, да ещё и пытаться увидеть, если у кого зрение не супер... хз не катит)

 

[Фанат]

А при чем здесь "простой сайт" и "вход" на него?

 

[nerezus]

Вопросы приема сертефикатов и их использования разрешаются чтением спецификаций SSL и HTTPS.

Или просто использованием стандартной либы, что на порядок проще и займет пару минут.

чем полностью эмулировать JS.

А это разве сложно? Пара строчек(используя движок браузера).

 

[shurc900]

korchasa
да, вряд ли, но она также могут открыть .js файл тем же fsockopen и имитировать его у себя, а потом передать мне...

-~{}~ 24.12.07 10:25:

спасибо всем, ребята, за столь активное обсуждение моей темы. особенная благодарность korchasa, который, растолковал формулировку моего вопроса наиболее правильно!
-------------------------------------------------------------------------------
Проблему я понял следующим образом:
Есть сайт А хороший с каким то сервисом, реализуемым посредством формы. Есть сайт Б - злоумышленник, который взяв страницу формы выставляет ее у себя, получает данные от пользователя, и передает их скрипту, который обрабатывает оригинальную форму на сайте А. При этом он тщательно гримируется под браузер, и использует прокси для уменьшения количества запросов с одного IP.

Средствами HTTP отличить его невозможно. И сессия тут поможет только тем, что в ней можно гарантированно хранить количество запросов в пределах текущей сессии (не важно кто на другом конце: браузер или скрипт). CAPTCHA не поможет ни чем, ибо никто не мешает скрипту при формирования формы на сайте Б использовать оригинальную каптчу (напрямую, или проксированно) с сайта А. Так же не поможет и JS-код.
-------------------------------------------------------------------------------
некоторые идеи действительно хороши, но нет никакой конкретики, к сожалению
правда на віходніх от нефиг делать немного пораскинул мозгами и кажеться кое-что придумал на основе javascript

 

[Pigmeich]

Или просто использованием стандартной либы, что на порядок проще и займет пару минут.

А про либу я на несколько строчек ниже написал.

Просто спецификации снимают все вопросы. И не только по SSL.

Ну ладно, иногда спецификации просто сильно помогают понять придурков разработавших библиотеку.

-~{}~ 24.12.07 10:28:

А это разве сложно? Пара строчек(используя движок браузера).

Движок - это зверско действенный брутфорс - я уже писал. Но многие способы спокойно обходятся без него.

 

[Фанат]

shurc900
А у тебя действительно такие ценные и уникальные сервисы? И все уже понатыкали у себя форм-клонов? И делают запросы строго через анонимные прокси?

В этом случае, боюсь, тебе ничего уже не поможет. Яваскрипт - тем более.