[דיון] מניעת הצפות בטופס - עמוד 2 - הוסטס

HOLD · 20-06-10, 16:58

ציטוט:

נכתב במקור על ידי ~The_Sultan~

אתה באמת חושב שעדיף ליצור עמודה במסד ולאחסן בה כתובות IP מאשר לעשות את זה בסשן? אם כן, אתה טועה.. סשן הרבה יותר קל לניהול לשרת מאשר פעולת מסד ואני לא מבין איזה מעקב חכם אתה מדבר עליו שאפשר לעשות במסד ולא בסשן

כן,

סשן מתאפס כשהשרת נופל, המסד לא (מתאפס),
אם תרצה לדעת מה היו הפעולות האחרונות לפני הפלת השרת, לא תוכל.

סשן זה לכל דפדפן, לא ידועה לי שיטה ברמת php להוציא סשן של דפדפן אחר כדי לאחזר את המידע עליו (IP,שם משתמש וכו'), לעומת זאת במסד נתונים ניתן להוציא רישום מסודר של מה קרה ומתי.

תקן אותי אם אני טועה.

~The_Sultan~ · 20-06-10, 18:08

הדברים שאמרת פשוט לא רלוונטיים למקרה של פותח האשכול.

dabi · 27-06-10, 08:33

אשמח לעוד תגובות

Shay Ben Moshe · 27-06-10, 12:23

סשן לא יעזור פה בכלל נגד הצפה על ידי בוט.
מי שלא יודע דרך הפעולה של סשן היא שמירת עוגייה אצל הלקוח שנמחקת ברגע שהוא יוצא מהדפדפן שכל מה שהיא מכילה זה איזשהו ID ובשרת שמירה של הנתונים לפי הID הזה.
אם תכתבו לדוגמה תוכנית בC או אפילו בPHP שמתקיפה שרת רוב הסיכויים שלא תשמרו עוגיות, לא תשלחו User Agent וכדומה.
במילים פשוטות סשן יעזור רק נגד דפדפן רגיל נורמאלי ששומר עוגיות.

IP זה משהו שנשלח בכל בקשה, בשביל לדעת לאן להחזיר את הRESPONSE, קשה מאוד להשיג הרבה כתובות IP כי זה משהו שדורש הרבה מחשבים.

אם אתם צריכים הגנה רצינית נגד הצפה זה IP או CAPTCHA בד"כ. זה יכול להיות גם תעודת זהות או משהו כזה אבל זה כבר נושא אחר.

דרך אגב, רוב האתרים לא דורשים כזו הגנה כבדה...

intercooler3819 · 27-06-10, 16:56

ציטוט:

נכתב במקור על ידי ~The_Sultan~

אתה באמת חושב שעדיף ליצור עמודה במסד ולאחסן בה כתובות IP מאשר לעשות את זה בסשן? אם כן, אתה טועה.. סשן הרבה יותר קל לניהול לשרת מאשר פעולת מסד ואני לא מבין איזה מעקב חכם אתה מדבר עליו שאפשר לעשות במסד ולא בסשן

קודם כל - סשנים כן נשמרים בצד לקוח - בצד של הדפדפן
שנית - בתור רובוט - מאוד לא בעיה לעבוד על המערכת שלך - שכן כל פעם במקום לשלוח חזרה לשרת את ה COOKIE עם ה SESSION ID - לא שולחים כלום - ואז מקבלים סשן חדש ויש לך שוב עוד 5 ניסיונות

בנוגע לנושא עצמו - אני הייתי עושה עם TOKEN-ים מכל סוג שהם.. או קבצים בשרת או בדטאבייס או בקאש

דרך אגב שי - להשיג הרבה כתובות IP זה בכלל לא בעיה כיום... ב10 דקות אני יכול להוציא מעל 500

לסיכום - או TOKEN-ים או CAPTCHA (יש הרבה סוגי קאפצ'ה - אפשר אפילו קאפצ'ה בג'אוה סקריפט שבאמצעותה המשתמש צריך "לגרור" את העיגול לתוך הריבוע וכדומה..)

בהצלחה!

Shay Ben Moshe · 27-06-10, 18:10

ניצן מה הכוונה להוציא מעל 500 כתובות IP.
השאלה היא האם אתה יכול להשתמש בכולן בשביל להתקיף, בקצב שיכול להפיל שרת או לעשות הצפה רצינית.

בכל אופן, TOKENים זה בד"כ נחמד

intercooler3819 · 28-06-10, 01:03

ציטוט:

נכתב במקור על ידי Shay Falador

ניצן מה הכוונה להוציא מעל 500 כתובות IP.
השאלה היא האם אתה יכול להשתמש בכולן בשביל להתקיף, בקצב שיכול להפיל שרת או לעשות הצפה רצינית.

בכל אופן, TOKENים זה בד"כ נחמד

כן - אפשרי בהחלט

dabi · 01-08-10, 01:02

אז סשן לא עוזר כי בוט לא ישמור אותו

ציטוט:

נכתב במקור על ידי Shay Falador

דרך אגב, רוב האתרים לא דורשים כזו הגנה כבדה...

למה?
אם יש לי אתר עם טופס פשוט שמכניס משהו למסד, ואני לא רוצה לעשות קוד אימות
הדרך היחידה זה לשמור IP ,וזה כמובן דבר לא נחמד למסד שפשוט יהיה מלא...
תחשוב לשמור IP כפול מספר המשתמשים שלך זה הרבה
מספיק ילד משועמם שיבנה בוט ויציף את המסד,,,לא?

אשמח לדרך יעילה וקטנה

27-06-10, 12:23	# 14
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	סשן לא יעזור פה בכלל נגד הצפה על ידי בוט. מי שלא יודע דרך הפעולה של סשן היא שמירת עוגייה אצל הלקוח שנמחקת ברגע שהוא יוצא מהדפדפן שכל מה שהיא מכילה זה איזשהו ID ובשרת שמירה של הנתונים לפי הID הזה. אם תכתבו לדוגמה תוכנית בC או אפילו בPHP שמתקיפה שרת רוב הסיכויים שלא תשמרו עוגיות, לא תשלחו User Agent וכדומה. במילים פשוטות סשן יעזור רק נגד דפדפן רגיל נורמאלי ששומר עוגיות. IP זה משהו שנשלח בכל בקשה, בשביל לדעת לאן להחזיר את הRESPONSE, קשה מאוד להשיג הרבה כתובות IP כי זה משהו שדורש הרבה מחשבים. אם אתם צריכים הגנה רצינית נגד הצפה זה IP או CAPTCHA בד"כ. זה יכול להיות גם תעודת זהות או משהו כזה אבל זה כבר נושא אחר. דרך אגב, רוב האתרים לא דורשים כזו הגנה כבדה... __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

27-06-10, 18:10	# 16
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	ניצן מה הכוונה להוציא מעל 500 כתובות IP. השאלה היא האם אתה יכול להשתמש בכולן בשביל להתקיף, בקצב שיכול להפיל שרת או לעשות הצפה רצינית. בכל אופן, TOKENים זה בד"כ נחמד __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

20-06-10, 18:08	# 12
~The_Sultan~ חבר על מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 771	הדברים שאמרת פשוט לא רלוונטיים למקרה של פותח האשכול.

27-06-10, 08:33	# 13
dabi חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 1,767	אשמח לעוד תגובות

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)