Приснился сегодня интересный, на мой взгляд, и недорогой способ обеспечения безопасности Допустим создаем мы некое ПО наподобие браузера, которое шифрует всю управляющую информацию по ключу в прямой GET запрос. Этот запрос передается на специальный сервер, который расшифровывает запрос и далее выполняет команды. Замут же в том, что кроме нас к этому серверу обращаются с подобными запросами ещё сотни тысяч пользователей через установленные в разных сайтах iframe. Таким образом оперативно идентифицировать настоящий "вход" практически невозможно. Фиксированный размер запроса, временная задержка и одинаковый зашифрованный ответ (формируемый настоящим запросом) во всех фреймах сделает безуспешным даже долгий и кропотливый анализ трафика. Сервер может сам анализировать текущую ситуацию по объему запросов и выполнять действие только когда на связи в тот момент десяток-другой тысяч клиентов. Что скажите, коллеги? На всякий случай более предметная схема работы. Обычные пользователи: Заходят на сайт. Обращаются к серверу через фрейм на сайте и получают js-код, формирующий новый фрейм, в котором передаются случайный набор символов определенного объема. Мы: Так же заходим на сайт. Обращаемся к серверу через фрейм и получаем js-код. Если фрейм присутствует и код в нем нужный, наш софт формирует уже не случайный запрос, а управляющую команду, содержащую заголовки и данные которые надо, а так же ключ для сервера. Сервер расшифровывая данные выполняет нужные нам команды.
Лучше юзать post (форму из скрипта составить и отправить не проблема) и https, что бы не морочиться с шифрованием. Вот только если все будут передавать случайные данные одним запросом, а ты будешь делать 4-5, тебя сразу вычислят.
Почему одним? Пользователи ходят по сайту и каждый раз делается запрос из фрейма. Кроме того сам фрейм обновляется через случайный промежуток времени формируя ещё запросы.
Берем десяток самых активных подсеток и отталкиваемся от них, с большой вероятностью хакеру принадлежит ip из одной из них.
Да, Вы правы, фиговая идея. Лучше тогда залить ботов, что бы пара тысяч онлайн коннектилась по впн... Да и то по времени / размеру пакетов можно ограничить поиск до десятка-другого.. Бесперспективняк...
