вопрос первый.1) где хранятся переменные сессии. можно ли их как либо подделать. мне наш тим лидер сказал что можно выполнить скрипт в котором они задаюцца на локальном сервере и все будет ok. вопрос второй.) 2) есть вообщем одна браузерная игра. так вот там есть лакация в которой можно зарабатывать деньги этой игры. смысл такой что тебе предлагают поработать. и если ты нажимаешь на ссылку давай поработаем то у тебя отнимается какое то количество энергии и перечисляются деньги. энергия восстанавлявается не слишком бысто но если кликать раз в минуту то она будет успевать восстанавливатся. проблема в том что уже написали бота которого можно просто на ночь оставить и он будет тебе деньги зарабатывать. как можно защитится от бота . мне кроме капчи нечего на ум не приходит. но каждый раз вводить капчу это как то слишком. может у кого есть какая идея.
JS-подтверждение- типа алерта "вы уверенны что....."ну а насчет первого вопроса- чтобы подделать те-же кукисы их надо знать
Ну сделай запрет на эту работу например раз в один час, и увеличь награду в ** раз, и затраты энергии тоже в ** раз. Я непонял то есть ты нажимаешь на работу у тебя отнимается энергия и восстанавливается через минуту? Так или иначе против бота надо делать каптчу, даже если сделаешь какое то ограничение как ты отличишь задрота от бота, сделай каптчу не очень сложную и все будут счастливы. Алерт уже давно неактуален, можно обойти обычным кликером
id сессии в cookies или передаётся через GET сами файлы с данными лежат в папке tmp и хранятся там они в сериализованном виде
подделать сессию нельзя её можно только перехватить(кража кукис через активную XSS или заполучение сида из реферера когда передаётся через гет)
Простые боты так-же пишутся и на JavaScript какраз...а вот они - могут Убить и 1е и 3е - с полна,а 2е - только в случае если на куке параметр Секюрити установлен (т.е. JS доступа к ним не имеет),но это почти нигде не встречается,так-что 2е тоже побеждает в полне=) Такой бот обычно занимает 10-30 строчек кода на jQuery и обойдёт это всё,и в написании занимает 5-10 минут)) т.с. Зачем каждый раз капчу? следи за активностью нажимания,если кликают часть промежуток мал (т.е. навряд ли человек) - тогда выводи им капчу...Изменяй вид кнопочки,имена форм,запросы делай переменными,кнопочку двигай + можно вешать определение "В какую часть кнопки был клик",если в 1но и то-же место кликают - то банить на время прослеживать время кликов,если разницы между кликами почти нет то бан ну и т.п. включи фантазию!)
barnaki 1) где хранятся - зависит от движка игры, по дефолту - описал necroleptick. Подделать в данном случае можно при наличии шелла на той же машине, что и веб-сервер игры. Да и то, только если права веб сервера настроены неправильно 2) JS/кукисы/капчи - это все обходится, вопрос только в цене, которую готовы заплатить. Лучшим вариантом считаю "штраф трудоголика" из игры heroeswm. Смысл в том, что если устраиваться на работу нонстоп, то через 10 устройств сумма получаемая за работу постепенно снижается до 10% от максимума. Чтобы вылечиться от этого штрафа - надо провести бой, который практически нельзя автоматизировать. Суть - раз в N устройств на работу требовать от пользователя совершить нетривиальное действие
