Detekce - užival vs php script (např. curl)

HackForum

Detekce - užival vs php script (např. curl)#
Zdravím,

je možno na straně serveru nějakým způsobem detekovat, jestli se jedná o uživatele (přístup přes browser) a nebo přes php script - např. fce curl().

Možnost kontroly user agenta je neefektivní, dá se bez problému spoofovat. Lze tedy nějakým způsobem zjistit, jestli požadavek přišel od uživatele nebo od php scriptu?

Ocením jakoukoliv nápovědu v tomto směru, i kdyby ten způsob nebyl spolehlivý... Cokoliv...

Děkuji za náměty.
(odpovědět)
Shaim21.3.2012 23:03
re: Detekce - užival vs php script (např. curl)#
Nejde.

Můžeš kontrolovat referer, ale to je záležitost přidání jedné hlavičky.

Můžeš přidat nějaký pekelný javascript, ale to je jen otázka emulace.

Můžeš přidat captchu, ale ta se buď dá prolomit, nebo jí nerozluští ani lidé.
(odpovědět)
Bystroushaak | E-mail | Website | PGP22.3.2012 8:34
re: Detekce - užival vs php script (např. curl)#
Částečně by to šlo ošetřit kontrolou IP adresy, kdy ověříš dostupnost portu 80 na IP, ze které ten požadavek přišel, ale je to jen takové řešení na hov.. spíše pro zamyšlení než pro reálné použití. Přeci jen je většina uživatelů za NATem a jejich směrovač zřejmě bude mít často port 80 otevřený.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP23.3.2012 8:47
re: Detekce - užival vs php script (např. curl)#
otevreny port 80? to je zpravidla port webovyho serveru, ne klienta, ktery se pripojuje. port je otevreny pouze v pripade ocekavani "prichoziho hovoru"... browser, jak znamo, je klientska aplikace, ktera neotevira zadny port 80 na klientskem pocitaci.
Jinymi slovy, kdyz se prohlizecem pripojis na port 80, neoteviras zadny port 80 u sebe...
(odpovědět)
bowdown | 78.80.240.*28.3.2012 3:52
re: Detekce - užival vs php script (např. curl)#
No právě - a tak jsem to také myslel :) Pokud totiž využiji k přístupu skript na nějakém hostingu, tak ten port bude otevřený a je docela pravděpodobné, že jde o přístup pomocí skriptu.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP28.3.2012 8:01
re: Detekce - užival vs php script (např. curl)#
Aha, tak to jo, nejaka pravdepodobnost tam bude :) Na druhou stranu tim znevyhodni cloveka, kterymu bezi web na masine (nejaky webdeveloper, treba :))
(odpovědět)
bowdown | 78.80.240.*28.3.2012 19:08
re: Detekce - užival vs php script (např. curl)#
imho by se to dalo celkem úspěšně detekovat přes výstup PHP funkce get_browser(), skutečný prohlížeč bude mít většinu hodnot nastavenou na 1, zatímco curl, wget a další na 0.
(odpovědět)
Emkei | E-mail | Website | PGP23.3.2012 9:43
re: Detekce - užival vs php script (např. curl)#
Pokud se někdo bude chtít vydávat za browser, tak je to docela jednoduché fixnout.
(odpovědět)
Bystroushaak_ | 88.102.5.*23.3.2012 14:02
re: Detekce - užival vs php script (např. curl)#
všechno se dá obejít, když je snaha, ale on neříkal, že to chce mít 100% spolehlivé...
(odpovědět)
Emkei | E-mail | Website | PGP23.3.2012 18:02
re: Detekce - užival vs php script (např. curl)#
Děkuji za rady, také mě to napadlo, ale zajímalo mě, jestli není nějaký "normální" (nevím, jak jinak to nazvat) způsob, jak s jistotou určit jestli se vážně jedná o browser nebo např o curl.

Určitě některé z rad využiji a implementuji, ale stále to není moc spolehlivé. Btw, nevím čím to je, ale samotná fce get_browser() vždycky trvá cca 1500ms, což se mi zdá příliš.
(odpovědět)
Shaim2.4.2012 1:31

Zpět
 
 
 

 
BBCode