Tak jsem si to procetl asi 3 stranky zpatky a na kazdy "navrh" jak to "ochranit" mi okamzite vyvstalo reseni jak ho prekonat.
Proste neexistuje cesta jak se branit kombinaci:
- armada asijskych typku
- moznost "programovat" prohlizece (wkhtmltopdf, phantomJS, selenium atd.) vcetne chovani mysi a klavesky.
- Chces zakazat paste do vyhledavaciho radku? Reakce platiciho zakaznika az tam bude z dokumentace vkladat cislo normy?
- Obfuskace JS? Stale nechapete, ze nikoho nezajima vas zbastleny a obfuskovany JS. Pokud si s nim poradi prohlizec uzivatele tak si s nim poradi i muj "naprogramovany" prohlizec.
- Platit za neco co nema navigaci? V takovem oboru asi vetsinou nevis presne co hledas.
- nejak delat random prvky? opet neni nic jednodussiho nez si vizualne najit spravny div
- delat ruzne mraky url adres a jejich kombinaci? proste si to vytaham a budu ukladat pod ID = md5(vycisteny obsah hlavniho divu z predchoziho bodu)
- watermarky a zaloby? Pche. Zijes v CR. Kdyz tam budes mit watermark id uzivatele tak proste reknu, ze mi ukradli notebook kde mam ulozeny v prohlizeci hesla. Jak dokazes, ze jsem kradl ja a ne zlodej myho notebooku?
Tohle vsechno je pravda :-)))
Ale ja si tezko predstavim, kdyz budu mit POUZE JEDNORAZOVE URL, ktere nejsou nikde viditelne - jak rikam, pouze pres vyhledavani, ktere "random" zobrazuje captchu v cestine jako je to tady (ano je to hnus a neprijemne pro klienty, ale ... kazdemu co jeho jest) - jak jsem rikal priklad:
pises do inputboxu a nekdy po tretim znaku, nekdy po osmem, nekdy po dvanactem se ti zobrazi ceska captcha - tu ti indove nevyresi, cesky neumi.
Jo a jeste me napadla jedna vec:
* Dvoufazove prihlasovani - proste kdyz si chci neco zobrazit, tak musim jako pako opsat kod z telefonu, ve kterem muzu mit od autoru "aplikaci" - nejakou zmodifikovanou OSS vec.
Obejit se v dnesni dobe da vsechno. O tom se nebudu hadat.
Jen rikam, ze si tezko predstavim, jak bych vykradal "google like" web, ktery generuje jednorazove url pro to, co jsem vyhledaval.
* musel bych vyplnit inputbox automaticky a projit ochranou (logikou za tim, ktera "tipuje" jestli jsem clovek) - na prvni request
* s kazdym dalsim se stroj vic chova jako stroj (nebo musi clovek napsat velmi sofistikovany randomizator chovani robota - coz je dost prace)
* opisovat captcha v cestine indama moc nepujde, navic kdyz se bude zobrazovat nahodne po X tem znaku a jen nekdy
* v pripade podezreni na robota po pate strance chci po uzivateli kod z telefonu z moji aplikace, ktera muze fungovat tak, ze uzivatel vyfoti QRko - proste klasicky dvoufazova AUTH
Naprogramovat takovy crawler bude bud pro nekoho, kdo delal bitcoiny a ma dost casu si hrat, nebo to bude drahe.
Vim, ze je to ve finale marny boj.
182 Odpovědí
26535 Zhlédnutí