אשכול: PHP | עזרה | הודעות ספאם או שליחה רגילה?!
View Single Post
ישן 22-04-09, 16:52   # 37
Daniel
אחראי פורום
 
מיני פרופיל
תאריך הצטרפות: Mar 2007
הודעות: 2,875

Daniel לא מחובר  

ציטוט:
נכתב במקור על ידי nitsanbn צפה בהודעה
אז בא בנאדם או רובוט מחוכם
מריץ את הJS ועושה כל מה שבראשו
אחרי הכל הדפדפן הוא למעשה JS INTERPRETER ואפשר לכתוב אחד כזה בקלות
ואני לא חושב שיש בעיה להוסיף לPOST REQUEST עוד שדות, מה שצריך זה רק לעדכן את הCONTENT LENGTH בהתאם

לוודא דברים כאלו בצד לקוח זה טעות - רק בצד שרת



קראתי את המשך הדיון
אנשים התחרפנתם

בכל אופן
אני יסכם את זה מהניסיון שלי ככה
קודם כל תוודאו אם מה שמדובר עליו בכלל שווה לוודא אותו, לדוגמא לא יפריע לי אם בנאדם מוסיף לעצמו צפיות בסרטון יוטיוב שלו, כי זה בסה"כ צפיות, ממש לא אכפת לי אם מישהו יחליט לאנוס את המדד (את האמת זה עקרוני כי ככה מבצעים PROMOTION לוידאואים וזה באמת עובד אבל חפיף.. אין לי דוגמא חארת בראש)

אחרי שאני כבר יודע שזה משהו שבאמת עקרוני לאבטח הייתי נוקט בצעדים הבאים
קודם כל לא בודק את הדברים ברמה של צד לקוח - טעות עצומה לדעתי ובזבוז זמן טוטאלי - אלא אם כן הזמן שלוקח לכם לוודא את הדברים בשרת גדול, מה שלרוב לא נכון כי לרוב רוב הכניסות הם לעמודי שליפת המידע וההזנה היא חד פעמית או זניחה יחסית לשליפות, אבל נניח וכן ורציתם לחסוך - תעברו לJS ותזרקו את זה אצל הלקוח

שנית הייתי מריץ RECAPTCHA או אם הקהל יעד בארץ - משהו יותר מגניב עם אותיות בעברית או איזה משימה מוקרצת "כתוב את האות שבין ג' לה'" וכד', או סתם נותן לחשב נפח סיבוב של איזה פונקציה טריגונומטרית הזויה P:

בסופו של דבר אתם צריכים כמה שפחות להציק ליוזר אבל כמה שיותר לוודא את תקינות המידע - אל תחשבו על היוזר בתור אחד שבא לאנוס את המערכת שלכם ואל תחשבו עליו גם בתור בנאדם תמים - תדאגו לאמצעים מינימלים שלא יציקו לו אך שלא יתנו יד חופשית למערכת שלכם

איך לעשות את זה? -> זה ממש איך שתרצו - נתתי אמצעים שאני מחבב למעלה - אבל זה ממש מה שבא לכם
(אגב, yard - גם את זה אפשר לעקוף לשלוח מחרוזת מזוייפת.... אבל זה לא שאיזה מתכנת יתחיל לנתח עם sniffer דווקא לאתר שלו).

שמע - אני לא אמרתי, ואף פעם לא אגיד שיש פיתרון מושלם,
ואף פעם לא אמרתי שמתכנת מספיק טוב יכול תוך מקסימום שעה להכין בוט שיעקוף את ההגנה שהצעתי,

אבל שוב פעם - אז הוא ירשם ידנית, ויציף את הפורום דרך בוט. כל דבר ניתן לעקוף, וכל עוד התועלת גדולה מהנזק הפוטנציאלי (שלא נדבר על זה שבמקרה הכי גרוע שהוא יצליח להציף -> למחוק את כל ההודעות ולעבור לקאפטצ'ה). אבל מבחינת טרחה? הרבה פחות טרחה, הרבה יותר תועלת, ונזק פוטנציאלי נמוך
  Reply With Quote