ช่วยคิดหน่อยครับ ป้องกันไฟล์ในเว็บเรา วิธีเช็คจาก ip จาก server จริงเราดีใหมคับ?

เริ่มโดย okgofun, 31 ตุลาคม 2007, 00:18:31

หัวข้อก่อนหน้า - หัวข้อถัดไป

0 สมาชิก และ 1 ผู้มาเยือน กำลังดูหัวข้อนี้

พิมพ์
ลง หน้า1
การกระทำของผู้ใช้

okgofun

31 ตุลาคม 2007, 00:18:31
ช่วยคิดหน่อยครับ ป้องกันไฟล์ในเว็บเรา วิธีเช็คจาก ip จาก server จริงเราดีใหมคับ?

** เน้นที่ป้องกันการเข้าชมภายในเว็บเราเท่านั้น ห้ามชมผ่าน url อื่นๆ

ประมาณว่า การเข้าถึงไฟล์หลักๆใดๆก็ตามในเว็บที่สำคัญๆ จะต้องเรียกผ่านไฟล์ myprotect.php แบบนี้ดีใหมครับ แล้วเราก็ให้ไฟล์นี้ทำการส่งค่าตัวแปรบางอย่างไปที่ไฟล์หลักของเรา ให้แสดงผลออกมา

พอ user เข้ามาเว็บเรา แล้วไปหน้าข้อมูลที่ต้องการป้องกัน ก็จะเรียกชมผ่านไฟล์ myprotect.php ได้เท่านั้น

ซึ่งไฟล์ปลายทางอาจเช็คจาก referer และค่า id หรือ session ต่างๆ

@@@
แต่... หากใช้ curl อาจจะสามารถเข้ามาปลอมเพื่อทำการดึงข้อมูลไปได้จากไฟล์ปลายทางสำคัญ

ที่ผมลองๆมา curl ปลอม referer ได้ ปลอมแปลงด้วยการเริ่ม start session ได้ หรือใช้ CURLOPT_HTTPHEADER เพื่อกำหนดค่า server ได้

แต่.. ip address จริงๆนี่สิ มันปลอมไม่เห็นจะได้เลย ได้แต่ผ่าน proxy อะไรก็ไม่รู้

ถ้า... ไฟล์หลักสำคัญของเราเช็คทั้ง referer แล้วก็ ip การเข้าถึงคงจะเป็นวิธีที่ดีวิธีหนึ่งใช่ใหมครับ  :P
จะต้องทำให้ได้เดือนละอย่างต่ำ $1,000 แล้วก็ไม่โดนแบน

EThaiZone

#1
31 ตุลาคม 2007, 03:05:45
ผมอ่านแล้วงง ว่าอยากจะไว้ป้องกันอะไร
แต่ขอแนะนำว่า ทำอะไรก็อยู่บนความพอดี เดียวโฮสจะเตะซะก่อนครับ  :P

payu

#2
31 ตุลาคม 2007, 08:33:35

ผมว่าจุดประสงค์ของการทำเวปก็เพื่อให้คนเข้ามาดู .. เยอะๆด้วย
ยกเว้นระบบที่เป็น private เวป หรือ extranet ซึ่งก็จะป้องกันเนื้อหาบางส่วนด้วยการมีระบบสมาชิกเข้ามาช่วย

การที่ต้องการเปิด public แต่ต้องการป้องกันเนื้อหาด้วยนั้น อาจจะฟังดูไม่ไปด้วยกันเท่าไหร่

หรือ ถ้าต้องการไม่ให้คนอื่นมาแอบเอาเวปเราไปใส่ในเวปเค้าแบบ iframe ก็มีวิธีแก้เผ็ดได้ .. รู้สึกจะมีคนตอบแล้วในบอร์ด

หรือ ถ้าต้องการป้องกันไม่ให้ bot มา scrape เนื้อหาโดยปลอมแปลง referrer หรือปลอมแปลงอย่างอื่น ผมคิดว่ายากครับ ระดับทั่วไปเราอาจจะกันได้ แต่ถ้าระดับเซียน ip ยังปลอมได้เลยครับ (อันนี้เรื่องจริง)

อย่าง ezine เค้ายังสามารถตรวจสอบได้แค่ว่ามี request มาจาก ip เดียวกันเป็นกี่หน้าใน 1 ช่วงเวลา แล้วก็จะแบน ip แค่นั้นเองครับ เพราะถ้าทำมากกว่านั้น ก็จะเป็นการกีดกันคนที่ต้องการดูเวปทั่วไป ซึ่งผิดจุดประสงค์

การเข้ารหัส หรือการผ่านระบบสมาชิกน่าจะง่ายกว่า

.. ข้อคิดเห็นน่ะครับ

[direct=http://www.facebook.com/iipayu]payu on facebook[/direct]

okgofun

#3
31 ตุลาคม 2007, 10:57:23
 :-* จริงๆเป็นเว็บแบบ public หนะครับ อยากให้แต่สมาชิกเท่านั้นที่อ่านข้อมูลหรือดาวน์โหลดไฟล์หนังในเว็บได้ กลัวบางคนแกล้งสมัครสมาชิกมา แล้วก็เขียน curl เพื่อมาดึงข้อมูลไปแบบง่ายๆหนะครับ
จะต้องทำให้ได้เดือนละอย่างต่ำ $1,000 แล้วก็ไม่โดนแบน

moonoi

#4
31 ตุลาคม 2007, 11:04:35
เขียนเช็ค referrer ก็ได้แล้วนี่ครับ จะตรวจสอบหลายขั้นตอนทำไมเอ่ย ???

okgofun

#5
31 ตุลาคม 2007, 11:59:00
อ้างถึงจาก: moonoi ใน 31 ตุลาคม 2007, 11:04:35
เขียนเช็ค referrer ก็ได้แล้วนี่ครับ จะตรวจสอบหลายขั้นตอนทำไมเอ่ย ???

curl มันปลอม referer ได้นี่ครับ แต่ผมไม่ปลอม ip โดยตรงได้
จะต้องทำให้ได้เดือนละอย่างต่ำ $1,000 แล้วก็ไม่โดนแบน

moonoi

#6
31 ตุลาคม 2007, 12:28:33
เขาจะลงทุน curl อีกเหรอครับ ;D ถ้าเป็น static file เขาจะ curl ก็ถือว่าพยายามล่ะ (ส่วนมากก็ copy ไปลงโฮสเขามากกว่า)
เพราะการ curl จะเปลือง B/W ของฝ่ายที่ curl เอามาก ถ้าซีเรียสจริงๆ ทำ captcha เลยดีมั้ยครับ
พิมพ์
ขึ้น หน้า1
การกระทำของผู้ใช้