| |
|
|
| | Меня вдруг осенило...
Теоретически если создать скрипт который будет, при обращении пользователем к нему, будет создавать на компьютере файл о котором пользователь не знает, и записывать туда некоторый код, при дальнейшем обращении пользователя к этому скрипту, будет проверено наличие файла на компьютере пользователя, и повторное действие например регистрация будет запрещена при наличии файла, если файла не будет, то регистрация будет разрешена...
Это могло бы защитить проект от накрутчиков, но вот встает вопрос, возможно ли это реализовать?
Если да, то какими средствами? если не возможно в php, то может в чем нибудь друго есть такая возможность? | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 05:23)
| | | И каким образом он будет создавать? | |
| |
|
|
| |
|
|
| |
для: sim5
(29.11.2010 в 05:58)
| | | Если бы я знал...........
Допустим даже не на компе пользователя, а на сервере, а потом закидывать его на компьютер пользователя, ведь трояны как то поподают на компьютер, значит думаю вполне возможно и текстовый файл вполне возможно закинуть пользователю | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 06:01)
| | | РНР выполяется на сервере, и никакого скрипта на нем у пользователя выполнятся не будет, тем более, что нет средств у HTML и JavaScript, которые бы позволили записать у пользователя файл. | |
| |
|
|
| |
|
|
| |
для: sim5
(29.11.2010 в 06:32)
| | | Вы не совсем правы.
Вот эта штука http://samy.pl/evercookie/ делает так, что определяет пользователя верно даже если он зашел из под другого бразера/почистил куки. (в *nix системах вероятно не будет работать, в виду политики безопасности, проверю это утверждение вечером ). | |
| |
|
|
| |
|
|
| |
для: Гость
(29.11.2010 в 12:51)
| | | Не прав в чем? Я разве о об этом говорю? Вот когда найдете как средствами JS записать файл пользователю, тогда и будете говорить, что я не прав. А по ссылке это совсем иные механизмы, да и вопрос, будут ли они работать, если должным образом настроить антивирус. | |
| |
|
|
| |
|
|
| |
для: sim5
(29.11.2010 в 13:11)
| | | Собственно установка куки это и есть запись файла на компьютер пользователя. Разве нет?
Про антивирус - интересно знать каким образом его надо настроить что бы запретить браузеру использовать стандартные и задокументированные возможности. Или вы про песочницу? Если про нее - то этот разговор из серии "а вот твоя машина ездить в космосе не умеет!"
upd: проверил под убунтой - отлично работает, я что-то сразу не подумал что большинство механизмов хранения в убунту тоже реализовано. | |
| |
|
|
| |
|
|
| |
для: Гость
(29.11.2010 в 14:23)
| | | Кука это запись в файл, но это особенный файл, которым распоряжается браузер, и выполняет запись тоже браузер, а не JS. Если бы JS мог напрямую "хозяйничать" в файловой системе пользователя, тогда бы и разговор другой был. А об куках вопрошающий думаю знает. Он же спрашивал о возможности записи именно файла
Из всего стандартного по ссылке, только запись кук, не знаю как флешь отследить, не интересовался, но я могу настроить своего Каспера так, чтобы он отслеживал все попытки записи, тем более попытки выполнения неких компонетов, типа ActiveX. | |
| |
|
|
| |
|
|
| |
для: Гость
(29.11.2010 в 14:23)
| | | причем тут куки? и что, что они хранятся на коме у юзера? это много не даст, можно по ним определять, но накрутке это не помешает | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 05:23)
| | | Ну раз вариантов нет по создании файла, то попробуй использовать куки... Куки есть/куки нет.. | |
| |
|
|
| |
|
|
| |
для: Tonik992
(29.11.2010 в 07:16)
| | | Куки можно и удалить, все недобросовестные пользователи куки удаляют первым делом... | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 17:03)
| | | Почему недобросовестные? Я например, даже не от всех их принимаю. | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 05:23)
| | | Если сайта (скажем так), будет возможность создавать какие-то файлы на компьютере пользователя, то у пользователя обязательно будет возможно знать и контролировать, какие же файлы создаются и где хранятся - и чем тогда это будет отличаться от кукисов? | |
| |
|
|
| |
|
|
| |
для: neadekvat
(29.11.2010 в 14:58)
| | | Так вот нужно сделать так что бы пользователь не знал про это | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 17:07)
| | | Только чтобы вы меня там автризовали? Да щас. | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 17:07)
| | | может лучше проект по человечески переписать? | |
| |
|
|
| |
|
|
| |
для: Trianon
(29.11.2010 в 17:19)
| | | Что значит переписать, ни в коем случае, нужно просто что бы пользователь при всем желании не смог накрутить партнерскую программу, например, запретить ему повторную регистрацию, если он уже регистрировался, так можно куки использовать, но накрутчик возьмет и удалит их, блокировка по ип адресу, вполне подходящий вариант, но так же накрутчик может иметь динамический ип, имет смысл осуществить запись идентификационного файла на компьютере пользователя, например в папки systemrooot, что бы пользователь не знал о нем, и где он находится, это решает огромную проблему безопасности, при такой возможности пользователь врядли найдет этот файл в папке system32, и уже о возможности накрутки проекта можно не беспокоиться, вот собственно все... | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 17:43)
| | | Ну вот как это - разработчик сайта будет знать о ней, а пользователь нет? Да, многие не знают о кукисах - но я, например, по мере необходимости просвещаю людей об этих файлах. Также и про некие невероятные файлы в системрут будут знать все.
Вы как-то слишком разделяете людей на разработчиков сайтов и всех остальных. | |
| |
|
|
| |
|
|
| |
для: neadekvat
(29.11.2010 в 17:48)
| | | Ну почему же, мне просто нужна защита проекта, которую обойти будет не так просто | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 17:51)
| | | Уважаемый, защита, которую "не так просто" обойти, создается не стандартными средствами типа сессий, кукисов, привязки к айпи, а хорошим мозговым штурмом, совокупностью имеющихся фундаментальных вещей, названный выше. В опросах, например - таймер времени, глубина просмотра пользователями страниц и много другое.
А вы хотите решения, которое распространено на миллионы компьютеров, но при этом будет защищено от всего и от всех. | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 17:43)
| | | >имет смысл осуществить запись идентификационного файла на компьютере пользователя, например в папки systemrooot, что бы пользователь не знал о нем, и где он находится, это решает огромную проблему безопасности, при такой возможности пользователь врядли найдет этот файл в папке system32, и уже о возможности накрутки проекта можно не беспокоиться, вот собственно все...
о боже..
systemroot
Не всякий пользователь компьютера в этот каталог писать право имеет (да что в этот - за пределы профиля шаг - уже расстрел).
Кто Вы такой, чтобы Вашему проекту давать такие привилегии?
Кто выступит гарантом того, что Вы ими не злоупотребите?
Кто ответит за проблемы вследствиме непреднамеренных ошибок в коде проекта?
А всего-то что нужно - регистрируйте пользователей своей программы, опираясь на подходящие уникальные идентификаторы, и любые подсчеты ведите, соотнося голоса с регистрациями.
Это я и имел в виду под "по человечески". | |
| |
|
|
| |
|
|
| |
для: Trianon
(29.11.2010 в 18:17)
| | | Ребят Вот вы конечно много наговорили здесь, да только не по делу, чем выяснять кто я такой, и кто гарантом будет выступать, лучшебы вы мне помощь оказали, чем лить столько воды на протяжении 20 сообщений.... | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 19:12)
| | | Помощь в записи пользователю файла? Нет такого механизма, вам это сто раз повторять? Забудьте. Механизмы которые есть, обрубит любой мало-мальски себя уважающий кашмарский. | |
| |
|
|
| |
|
|
| |
для: sim5
(29.11.2010 в 19:40)
| | | sim5 (29.11.2010 в 19:40)
Помощь в записи пользователю файла? Нет такого механизма, вам это сто раз повторять? Забудьте. Механизмы которые есть, обрубит любой мало-мальски себя уважающий кашмарский.
Спасибо sim5 хоть от вас я получил внушающий ответ.......... | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 21:32)
| | | Вам об этом уже давно сказали. | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 19:12)
| | | Я вам в сообщении от (29.11.2010 в 12:51) предложил рабочий вариант. Попробуйте самостоятельно удалить все пометки которые оставляет еверкук. | |
| |
|
|
| |
|
|
| |
для: Гость
(29.11.2010 в 22:01)
| | | >Я вам в сообщении от (29.11.2010 в 12:51) предложил рабочий вариант. Попробуйте самостоятельно удалить все пометки которые оставляет еверкук.
В настройках браузера снимаем галочку "Enable flash plugin" - прощай "еверкук". | |
| |
|
|
| |
|
|
| |
для: Drago
(30.11.2010 в 01:15)
| | | полагаю, достаточно будет запретить тащить swf с этого и ему подобных серверов.
А может быть даже лишь сохранять флешем данные :) | |
| |
|
|
| |
|
|
| |
для: Trianon
(30.11.2010 в 01:24)
| | | Согласен. :) | |
| |
|
|
| |
|
|
| |
для: Drago
(30.11.2010 в 01:15)
| | | Вы хоть сами то проверяли свое утверждение? Очевидно что нет, я кстати стараюсь проверять свои утверждения. | |
| |
|
|
| |
|
|
| |
для: Гость
(30.11.2010 в 05:23)
| | | Вы, очевидно, молодец.
Флэш и его data storage это то неочевидное, о чем рядявой злоумышленник может не догадаться. На самом деле, все еще проще. Достаточно отключить JS ибо тот же флэш вставляется через swfobject. | |
| |
|
|
| |
|
|
| |
для: Drago
(30.11.2010 в 10:10)
| | | А еще он может пользоваться текстовым браузером в вакуме! Помоему и так понятно что для использования этой штуки нужен подключенный js. Пользователю вполне можно выдавать сообщение о том нужна включенная поддержка js, в случае если js отключен.
Вы задались целью доказать что эти куки можно обойти? Предложите решение лучше. | |
| |
|
|
| |
|
|
| |
для: Гость
(01.12.2010 в 07:57)
| | | >Вы задались целью доказать что эти куки можно обойти? Предложите решение лучше.
Вы шутите? Это же видно невооруженным глазом. А по поводу решения, в этой теме уже не раз говорили, что подобного просто не существует. Можно осложнить жизнь накрутчикам, но полностью избавиться вам от них не удастся. Мне только не понятно, почему вы и автор темы никак не можете этого понять. | |
| |
|
|
| |
|
|
| |
для: Drago
(01.12.2010 в 11:00)
| | | >Мне только не понятно, почему вы и автор темы никак не можете этого понять.
У вас видимо прокачан скилл читать между несуществующих строк, я где-то говорил что подобное возможно? Ткните носом | |
| |
|
|
| |
|
|
| |
для: Гость
(01.12.2010 в 13:42)
| | | Можно, я отвечу?
По моему, Вы, как и автор темы, проблему ставите слегка на бок.
Метить компьютер пользователя можно.
Метить компьютер пользователя можно разными способами.
Метить компьютер пользователя можно разными способами, включая очень изощренные.
Метить компьютер пользователя можно разными способами, включая очень изощренные, тем не менее лишь до тех пор, пока сам пользователь на эти издевательства со стороны чужих мальчиков согласен.
В частности, для описанного способа оказалось достаточным слегка почистить кеш, сами куки, историю посещений, букмарки, и #sharedobjects в макромедиа плеере.
Затрачено было 10 минут на поиск и 2 минуты на удаление.
При этом, заметьте, все невовлеченные кукисы (то есть кукисы других сайтов) остались на месте.
Вытереть все метки для всех сайтов можно было сделать вообще секунд за 15.
И дело тут не в накрутчиках, а в том, что не надо лазить суконным рылом в калашный ряд без дозволения владельца этого самого ряда.
На все живущие у меня кукисы я дал согласие (явным или неявным образом). И только поэтому они у меня живут.
А автор темы пытался выяснить, как ему поднять заднюю лапку на компьютер, владелец которого этого не хочет.
Так вот - никак.
PS. Опять же, как по мне, так описать способ удаления нечисти дллжны были Вы сами, уж коль скоро не только ссылку на методику оставили, так еще и где у гранаты кольцо тянуть как именно вызывать инструмент любезно подсказали. Потому что подсказывали Вы это обезьяне с гранатой явно человеку , который к предложенному знанию не готов.
Ну да в конце концов совесть Ваша, не моя. | |
| |
|
|
| |
|
|
| |
для: Trianon
(01.12.2010 в 15:04)
| | | Как же вы ответили, если в вашем ответе нет ответа (простите за каламбур) на мой вопрос?
>А автор темы пытался выяснить, как ему поднять заднюю лапку на компьютер, владелец которого этого не хочет.
>Потому что подсказывали Вы это явно человеку , который к предложенному знанию не готов.
Не находите некоторого противоречия?
Способ удаления фактически черным по белому есть в исходнике evercookie. | |
| |
|
|
| |
|
|
| |
для: Гость
(01.12.2010 в 16:19)
| | | >Как же вы ответили, если в вашем ответе нет ответа (простите за каламбур) на мой вопрос?
Вот так и ответил. :)
Дав понять, что вы обсуждаете несущественные вещи, забыв о принципиальных.
>>А автор темы пытался выяснить, как ему поднять заднюю лапку на компьютер, владелец которого этого не хочет.
>>Потому что подсказывали Вы это явно человеку , который к предложенному знанию не готов.
>Не находите некоторого противоречия?
ни на йоту не нахожу. Пытаться выяснить и быть готовым знать ни разу не одно и то же.
>Способ удаления фактически черным по белому есть в исходнике evercookie.
Так и способ применения ж тоже есть. Но его Вы вынести в отдельный пост не побрезговали. | |
| |
|
|
| |
|
|
| |
для: Trianon
(01.12.2010 в 21:00)
| | | >Дав понять, что вы обсуждаете несущественные вещи, забыв о принципиальных.
В мире не существует существенных (опять каламбур) вещей. Единственное к чему стоит стремиться - счастье. Однако почему-то никто об этом не заикнулся, наверное потому что автор спрашивал не это. И как не странно я тоже спрашивал не это (да, я зануда). Я понимаю что вместо ответа на не удобный вопрос удобнее сменить тему на смежную, но да - я зануда ;)
>ни на йоту не нахожу. Пытаться выяснить и быть готовым знать ни разу не одно и то же.
Вы выделили другие сущности) Вот я предложил способ, с которым 99% пользователей ничего не смогут сделать, а вы утверждаете что это невозможно, никак. Так если для 99% удалить эти куки невозможно, то разве ваше утверждения верно?
>Так и способ применения ж тоже есть. Но его Вы вынести в отдельный пост не побрезговали.
Написали что использовать сложно, я просто показал что это не так. Как удалить куки у меня никто не спрашивал, а писать спонтанно текст, отвечающий на вопросы которые не задавали у меня привычки нет. (видимо в отличии от вас т.к. не смотря на два уже ответа на мой вопрос, вы на него так и не ответили :) )
ps: давайте прекратим заниматься демагогией) | |
| |
|
|
| |
|
|
| |
для: Гость
(29.11.2010 в 22:01)
| | | И вам спасибо, еверкук мне очень понравился, но пока я не могу его использовать на своем сайте, посколько не могу разобраться что к чему, очень много он производит операций, картинка в хэше например, изменение доменного имени в куки... | |
| |
|
|
| |
|
|
| |
для: chepikmas
(30.11.2010 в 01:41)
| | | Он представляет довольно прозрачный API интерфейс, по сути вам нужно от него только
var ec = new evercookie();
// set a cookie "id" to "12345"
// usage: ec.set(key, value)
ec.set("id", "12345");
// retrieve a cookie called "id" (simply)
ec.get("id", function(value) { alert("Cookie value is " + value) });
|
| |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 05:23)
| | | с помощью флеша можно, если конечно лузер даст добро | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 05:23)
| | | а можно немного не в тему?
Если я правильно понял условие - нужно сделать так, чтобы накрутчик не смог сделать много регистраций...
А если использовать такой вариант - при регистрации нужно указывать номер сотового, на него приходит sms с кодом активации, набираешь этот код на сайте - регистрация активирована...
Такой мехаризм, в частности, реализован в ВКонтакте.
Да, понятно, что накрутчики могут зарегить много номеров.. но обычно это не так просто и быстро... да и обычно при регистрации сотового номера берут деньги, которые тут же оказываются на счету... и их не снять =) | |
| |
|
|
| |
|
|
| |
для: victoor
(01.12.2010 в 15:17)
| | | Да, именно, и при этом что он мог заходить со своего компьютера толь под тем ЛОГИН, который он зарегистрировал... | |
| |
|
|
| |
|
|
| |
для: chepikmas
(01.12.2010 в 19:03)
| | | ну... в ВКонтакте. На который я ссылаюсь, так и сделано...
анкета активирована (введен код, пришедший с бесплатной смс) - у тебя полный доступ ко всем пользовательским функциям.
анкета не активирована (не введен код, пришедший по смс) - жди активации.
Смысла с неактивированного логина заходить нету... ну толко если хочется увидеть "аккаунт ожидает активации"
смс отсылается только на уникальные номера телефона (т.е. один номер - один аккаунт) | |
| |
|
|
| |
|
|
| |
для: victoor
(02.12.2010 в 03:16)
| | | и Вы можете посоветовать шлюз, через который можно бесплатно отправлять sms на любые телефоны? | |
| |
|
|
| |
|
|
| |
для: Trianon
(02.12.2010 в 11:29)
| | | если бы я его знал, я бы давно уже его юзал =)
Однако: основные сети дают интерфейс для отправки смс бесплатно через веб-интерфейс. встречал проги, которые могут посылать бесплатно смс на номера многих провайдров сотовой связи. | |
| |
|
|
| |
|
|
| |
для: victoor
(03.12.2010 в 01:18)
| | | Ylf? много услышал рассуждений, на тему согласия метки компьютера, спасибо хочется сказать лишь только за идею с смс шлюзом, а всем остальным : ребят, это очень хорошо, что вы позволяете хозяйвам проектов ставить вам куки, вы молодци, но если бы вы были хозяином коммерческого проекта, то вы бы поняли меня, что один грамотный юзер, который знает что куки можно удалить, может обонкротить самый перспетивный сайт какойнибудь коммерческой организациии, на легальных условиях... Задача в том что бы не допустить такого... | |
| |
|
|
| |
|
|
| |
для: chepikmas
(05.01.2011 в 06:59)
| | | Коммерческий проект, рассчитанный на работу исключительно в среде неграмотного окружения(неграмотных юзеров) правильно называется кидаловом.
Если Вы хозяин коммерческого проекта - ищите профессионального программиста.
Если Вы программист, а не хозяин - Вам дела нет и не должно быть до этих бизнес-метаний. | |
| |
|
|
| |
|
|
| |
для: chepikmas
(29.11.2010 в 05:23)
| | | Вот некоторые размышления про накрутку аж трехлетней давности | |
| |
|
|
