Kann man per JS den Schlüssel nicht einfach aus dem Quelltext einer php Datei auslesen?
Ich gebe beim Login oder Paidbannerbereich betreten ein Captcha ein und der eingegebene Wert wird in der DB gespeichert.
Dann ruft das JS den Key aus einer php Datei auf.Die PHP Datei erhält den KEY aus der DB.
*Edit*
Captcha setzt ein Cookie und der im Cookie gespeicherte Wert ist der Key?
Ein Cookie kann man doch per JS auslesen oder?
Das geht, stimmt!
Der Key wird dann aus CaptchaCode ausgelesen, damit kannste dann ver-/entschlüsselnCode:var CaptchaCode = GetCookie('CaptchaCode');
Gruß
Gremlin
Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!
Eigentlich müsste es doch hunderte von Möglichkeiten geben den Key im Quelltext zu verstecken, und dort auf X verschieden Arten zusammen zu setzten.
Es sollte ja nicht gegen User schützen, die Ahnung haben und den Key suchen, sondern nur gegen Autoklicker und die so intelligent zu machen, dass die den Key immer finden, halte ich für so gut wie unmöglich.
Man kann den Key ja aus X Verschiedenen Variablen zusammenseztzen.
Falls man per JS auch Eigenschaften der Webseite auslesen kann, könnte man auch diese Eigenschaften für die Zusammensetztung des Schlüssels nutzen.
Wenn man dann mit einer Relativ komplizierten funktion, aus diesen vielen Möglichleiten den Key per Script erzeugt, sollte es für Autoklicker extrem schwer sein, den key nach einer Änderung auszulesen, ehrliche User würden gar nichts bemerken.
Dann wären Autoklicker, die den Quelltext analysieren nicht mehr effektiv und normale User würden gar nichts bemerken.
Das PHP Script, welchen das Java Script erzeugt, müsste natürlich ensprechend variabel funktionieren und z.B. die Variablennamen aus denen sich der Key zusammensetzten soll immer ändern.
Gegen Autoklicker, die über einen internen Browser, die Klick.php aufrufen und einfach alle Links aufrufen, die sich dort befinden und eine "TAN" in der URL beinhalten, würde ich die von mir schon mal vorgeschlagenen verlinkten Pixel nutzen. (da muss dann halt eine Melde oder Minuskampange hinterstecken, die anhand Ihrer TAN nicht von einer normalen Kampange unterschieden werden kann).
Wie ich heute feststellen musste scheint es nicht so ohne weitere möglich den Quelltext einer Seite auszulesen, wenn diese einen String enthält, der länger als 65535 Zeichen ist.
Beim Einlesen dieses Strings scheinen die Steuerelemente einfach zu versagen und brechen nach dem 65535. Zeichen (Webbrowser) oder dem 1002. Zeichen (Inet) ab und der Rest des Quelltextes wird nicht eingelesen.
Also Strings der Länge 65536 bzw 1003 lassen sich nicht einlesen, man erhält dann alles vor dem String und den String bis zum 65535. zeichen, bzw 1002. Zeichen)
Das könnte man vielleicht auch gegen klickfaker verwenden.
Man könnte zufällig alle X klicks einen Kommentar an den Anfang der Seite setzen, der so lang + 1 Zeichen, bzw. länger ist.
Reloadet der User die Seite, ohne ein banner zu klicken, so konnte der Autoklicker vielleicht keine Banner im Quelltext erkennen.
Zeigt man dem User diesen "Monsterstring" X mal an, ohne dass er danach einen Banner klickt, so ist wohl ein Tool am werken.
Ehrliche User bemerken nichts.
*Edit*
Wer Traffic sparen möchte nutzt die Komprimierung und setzt einfach 65536 mal das selbe Zeichen hintereinander, das lässt sich prima komprimieren.
Berechtigungen
Zitieren