Стандартная ситуация... Разрешено с одного компа зарегать одного пользователь нашелся умник который регает десятки, сотни через прокси (как я понимаю) как защититься от прокси? Помогите пожалуйста!
Сколько тебе нужно на регистрацию времени? Я имею ввиду, сколько нужно на ввод каптчи и заполнение всех полей? Так вот, в форме делай скрытое поле с токеном, который будет проверяться при сабмите формы. Проверяй время жизни этого токена: если оно меньше времени потраченного на заполнение всех полей, то ай-ай-ай. Раз. Два - усложни проверки. Делай проверку на реф, если хочешь по какой-то стране ограничить то и гео ип тебе в руки. Три - можно на стороне пользователя яваскриптом формировать токен, который будет так же проверяться. Формироваться он будет на основе первого токена из скрытой формы. Алгоритм сделай неебически сложный и обфусцируй js-код.
Это если у юзера он отключен - то ты теряешь этого юзера. Тут тоже есть куда думать. Можно считать некий коэффициент траста - как суммы времени на заполнение форму, атипичный ип, отключение яваскрипт кода, дополняй сам... и когда он ниже заданного тобой порога, выдавать доп форму с хитрой каптчей и каким-нить доп соглашением или правилами твоего ресурса. Ты прав. Нет неломаемых систем, но в наших силах сделать так, чтобы ботописатели отваливались из-за сложности написания бота
Как я уже не раз писал, тут есть две очень-очень большие разницы. Универсальные боты и боты написанные под конкретный портал. Предложенная вами схема, да, отсеит многих из первой категории. Но если у нас вторая и у нас есть желание нагадить ресурсу - то да, здесь уже особо нечего противопоставить, тем более что даже самые сложные реализации защит пишутся несравнимо дольше и сложнее, чем боты под них. Помнится, у icq.com когда-то была совершенно отвратная система навигации, где все происходило по токенам в url, которые сначала запрашивалось.
Алгоритм проверки на анонимность может быть следующий: Если REMOTE_ADDR = Ваш IP, то прокси не используется; 1. Если выполняются следующие условия: REMOTE_ADDR = proxy IP, HTTP_VIA = proxy IP, HTTP_X_FORWARDED_FOR = Ваш IP то используется прозрачный proxy 2. Если выполняются условия: REMOTE_ADDR = IP proxy HTTP_VIA = IP proxy HTTP_X_FORWARDED_FOR = IP proxy то используется простой анонимный proxy 3. Если выполняются условия: REMOTE_ADDR = IP proxy HTTP_VIA = IP proxy HTTP_X_FORWARDED_FOR = случайный IP то используется искажающий proxy 4. Если выполняются условия: REMOTE_ADDR = IP proxy HTTP_VIA = не определен HTTP_X_FORWARDED_FOR = не определен то используется элитный proxy Используй во благо. Также можешь сделать отдельный чекер для сайта который чекает форумы и сайты где выкладывают паблик прокси . Пускай чекает и вносит в БД на 3 дня чтобы не пускало юзеров с этими ip
Protocoler, это всё относится, как я понимаю, к проксированию на уровне протокола HTTP, но не менее распространено проксирование на уровне протокола TCP - socks. Тут уже заголовки никто не меняет. Далее - изменением заголовков занимаюся правильные прокси, которые следуют RFC. А вот модни, ярки и молодежни прокси об этом и думать забыли. Такое время сейчас. Ну и да. Это как +1 к методам отсеивания. Даже +2 - т.к. сбор паблик баз проксей работает очень гуд.
Ну как бы пачка сомнительных сайтов с не менее сомнительными списками - это далеко еще не все. Ведь есть тор, бриджи тора, выходные ноды i2p, приватные соксы и целая армия впд-серверов. Это не считает лома, веб-проксей и прочих веселых вещей. С другой стороны, правда, есть всякие мерзкие списки вроде спамхауса и прочих, а также гео-правила для фаервола, что может в значительной степени помешать вашу злохакеру
есть прокси, с разными входными ip на стороне пользователя - тот ip, что покажется jscript проверкой. а выходной ip - будет один у них. уникальность и элитность, ага. есть софт, который проверяет и по таким условиям прокси. но он только под Вин и работал в умелых руках icq uin брутеров, лист прокси - проверяем входные и выходные ip. ненужные - отсеиваем по ходу проверки.
