הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - דיון-אבטחה מפני הצפות (https://hosts.co.il/forums/showthread.php?t=65673)

dabi	28-07-08 20:33

דיון-אבטחה מפני הצפות

רציתי לשמוע דעות של אנשים פה איך אתם מגינים מפני הצפות למערכת כמו הרשמה
(כי למערכת תגובות אם אני עושה שרק מי שרשום יכול להגיב זה לא בעיה לחסום זמנית משתמש רשום)
הבעיה היא בהרשמה שהבוט יכול בשניה להציף לי את המערכת ב מיליון הרשמות
כמובן שיש אפשרות עם הקוד אימות GD אבל זה ממש לא נוח ,כי אם הקוד כתוב ברור קל לבוט לזהות אותו,ואם הוא לא כתוב ברור המשתמש מתאמץ ואני לא רוצה את זה

חשבתי על אפשרויות אחרות כמו השוואה בין HTTP_REFERER ל HTTP_HOST-כמובן שזה ניתן לזיוף אבל זה עוזר קצת
עוד אפשרות זה שאלה בעיברית ,מתמטיקה כמו 2+5 והמשתמש צריך לרשום תשובה ,כמובן שיהיו איזה 30 שאלות שונות ואחרי 2-3 פעמים שהוא טועה הוא נחסם(למרות שיש מצב שאפשר לתכנת את הבוט לקרוא את השאלה איכשהו)
אשמח לשמוע על עוד שיטות כי שוב,התמונה הראנדומלית של ה GD מאוד מעיקה

תודה

mlnn	28-07-08 20:37

חבר מביא חבר.

"אימות GD" הכי סביר.

dabi	28-07-08 20:43

מה הכוונה חבר מביא חבר
אבל אימות GD לאנוח כמו שאמרת,הקלים קלים לפיצוח ע"י והקשים מוציאים את העניים

DvirCohen

28-07-08 22:26

אתה יכול לעשות אולי GD אבל להגיד לכתוב למשל קודם כל את התווים במקומות זוגיים ואז את האי זוגיים.

לדוגמא במחרוזת ABCDEF הקוד הנכון הוא BDFACE
או שגם על זה בוט יכול לעלות :\

Striker

28-07-08 22:39

שמע הכל תלוי ברמה של אותו אדם שרוצה להציף אותך.
לדעתי CAPTHA בסיסי יספיק , אתה יכול לצרף חסימה של הרשמה כפולה מאותו IP כדי להקשות על אותו בוט אבל בתכלס אפילו את הCAPTHA של GMAIL הצליחו לפצח חלקית (20% מהנסיונות , אל תטעה זה המון)

daMn	28-07-08 23:25

בדיקה של זמן, בדיוק כמו במערכת הזאת VB.
אם משתמש הגיב לפני X זמן אז אל תתן לו להגיב שוב.
X = מה שאתה רוצה, אני בדר"כ עושה 20 שניות.

רומן	28-07-08 23:47

יש המון סוגים של capch (תמונת אימות) יש דווקא כאלה שמאוד ברורות, וזה הפיתרון הכי טוב,
אתה כמובן יכול לעשות לפי אייפי, שנניח יהיה לו 5 ניסיונות ואז הוא חסום,
אבל הקוד תמונה הכי טוב.

dabi	28-07-08 23:47

ציטוט:

נכתב במקור על ידי daMn (פרסם 654663)

תקרא בבקשה את ההודעה שרשמתי

ציטוט:

נכתב במקור על ידי dabi (פרסם 654573)

רציתי לשמוע דעות של אנשים פה איך אתם מגינים מפני הצפות למערכת כמו הרשמה
(כי למערכת תגובות אם אני עושה שרק מי שרשום יכול להגיב זה לא בעיה לחסום זמנית משתמש רשום)

להגבה זה לא בעיה
אני מדבר על הרשמה

ציטוט:

נכתב במקור על ידי רומן (פרסם 654669)

תראה לי בבקשה קוד מובן ,כי הקודים המובנים בד"כ קל מאוד לעלות עליהם לבוטים

daMn	29-07-08 02:35

ציטוט:

נכתב במקור על ידי dabi (פרסם 654670)

תקרא בבקשה את ההודעה שרשמתי

בעיקרון אפשר לעשות את זה גם איך שאמרתי לך, בדיקה של זמן, אם ניסה להירשם לפני X אל תאפשר הרשמה.
הפתרון הכי טוב להרשמות הוא GD, בגלל שהרשמה היא לא 200 פעם ביום אלא פעם אחת ויחידה למשתמש אין בעיה להקשות קצת בGD למען חסימת בוטים.

kfir91

29-07-08 15:54

בהרשמה אתה יכול לעשות כמו שאני עשיתי במערכת שלי שאתה שומר תאייפי של המשתמש ואם האייפי נרשם בעבר זה מראה שגיאה.

בניה	31-07-08 14:37

GD בסיסי + אימות במייל לא מספיק?
זה מישהו שרוצה להציף אותך אישית או כנגד דברים שמסתובבים ברשת?

Daniel

31-07-08 14:51

מה GD? יש מספיק אפשרויות לחסום בוטים בלי GD.

Sagi	31-07-08 15:01

ציטוט:

נכתב במקור על ידי kfir91 (פרסם 654816)

בהרשמה אתה יכול לעשות כמו שאני עשיתי במערכת שלי שאתה שומר תאייפי של המשתמש ואם האייפי נרשם בעבר זה מראה שגיאה.

ממש יעזור כאילו בעיה לשנות איפי :S

תנסה ככה
ברגע שמישהו נכנס להרשמה תיצור סישן בשם REG עם ערך no
ברגע שהרשמה בוצעה בהצלחה תגדיר ל REG בערך YES
ומתי שינסו לירשם שוב תבדוק אם הסישן קיים
זה יקשה על הבוט
אפשרי גם בעוגיה זה יקשה עוד יותר

Daniel

31-07-08 15:09

ציטוט:

נכתב במקור על ידי Sagi (פרסם 655447)

לא רק שזה לא בעייה לשנות IP,
אלא,

2 אנשים מאותו מחשב?
IP משתנה. זאת אומרת שה-IP שלך? היום/מחר/בעוד שבוע/בעוד חודש יכול להיות שלי.

כמו שאמרתי, יש דרכים פשוטות לחסום הצפות ללא דבר הנראה לעין למשתמש.

GalN	04-08-08 02:22

תעשה את הcaptcha המדברת (:
את זה הבוט בח-י-י-ם לא יצליח לעשות D:

כל הזמנים הם GMT +2. הזמן כעת הוא 16:22.