Forum PHP.pl

Witam, prowadzę serwis z nagrodami (nie wnikajcie), otóż moi kochani użytkownicy robią boty do nich czyli w jQuery wypełnianie pól przez co bardzo szybko się rozchodzą, chciałem zrobić zabezpieczenie polegające na tym że jeśli użytkownik wypełnił 12 pól a nie minęło ok 15 sekund i wciśnie przycisk zamów to będzie owy napis czy include strony z informacją że konto zostało zablokowane czy coś, jak takie zabezpieczenie zrobić ?

sesja, ciastko, ip, wybieraj (IMG:style_emoticons/default/smile.gif)

setTimeout() też się przyda.

Bota to nie powstrzyma szczerze mówiąc. Po prostu będzie miał sleep na tę 12 sekund. Jedyna opcja na bota to captcha (którą i tak można obejść)
Po pierwsze poczytaj o csrf (na słabe boty jak znalazł, ale bardzo słabe).
Po drugie captcha.

Cały czas jest reCaptcha ... oni i tak botują ... wczoraj kumpel mi pokazał system anty-botowy i jeśli ktoś zamówi nagrodę poniżej 15 sek to konto zostaje "oflagowane" ...

jak to zrobić ...

Nie pokażesz jak to wygląda o możemy sobie co najwyżej zgadywać.
Utrudnij im życie na zasadzie:
-zmieniaj kolejność formularza (i losowo nazwy pól)
-dodaj tokena zabezpieczającego na zasadzie:
strona otwierana do sesji zapisuj:

[PHP] pobierz, plaintext 
//tu wstaw kasowanie tablicy $_SESSION['token'][$id_nagrody]
$bla = md5('sad;ashdas;dnp');
$_SESSION['token'][$id_nagrody][$bla] = time();
 
[PHP] pobierz, plaintext 

do html dodaj

[HTML] pobierz, plaintext 
<input hidden name="token<?php echo $id_nagrody?>" value="<?php echo $bla?>"/>
[HTML] pobierz, plaintext 

i po przesłaniu formularza sprawdzaj czy token z taką zawartością jest w sesji jeżeli tak to porównaj aktualny czas z zapisanym w tokenie jeżeli jest mniejszy niż te 15 sekund blokuj konto inaczej przepuszczaj i czyść tokena

Ps sprawdzenie tokena zrób przed kasowaniem starych

Ten post edytował lobopol 10.05.2011, 18:42:01

Najpierw niech poda adres email. Pod podany adres wyślij jakiś kod. Po wpisaniu danych wraz z kodem robisz to co powinno być wykonane.
(Przykład-> rejestracja na forum PHP-odzyskiwanie hasła)

Ten post edytował celbarowicz 11.05.2011, 14:01:59

Obejście tego zabezpieczenia 10 min przy użyciu serwisów typu niepodam.pl

W takim razie założę na forum PHP 2 000 kont. Myślę że administratorzy mają na to haka.
lobopol ty nie kombinuj jak nie rozwiązać sprawy tylko jak ją rozwiązać. Kombinuj jak poradzić sobie z niepodam.pl?

Tyle ile metod obrony, tyle samo metod na ich złamanie. Moja propozycja token+recaptcha/captcha obrazkowa+nieregularny formularz zawszę odrobinę różny od poprzedniego dodałbym do tego jeszcze logowanie ip i czasów wypełniania i na ich podstawie ewentualne blokowanie