Кошерная передача данных через web-форму. Форма авторизации

29 января 2016, 14:00

Кошерная передача данных через web-форму.

Кошерная передача данных через web-форму. Первый уровень абстракции. Однажды местному автору понадобилась функция управления Вселенной из любого места и с любого устройства. Грубо говоря, через заурядный браузер. Как-то ещё проще придумать не получается. Но, поскольку страшно даже представить, какая беда случится, если в интерфейс управления Вселенной попадёт кто ни попадя, здесь требуется надёжная защита от несанкционированного доступа. По сути проблемы как бы и нет, всё давно придумано до нас.
29 января 2016, 22:11

№ 3Форма авторизации

Почему бы не добавить такой же древний фокус:
1. в разметке формы добавляем поля со стандартными именами login/password
2. скрываем их и disable'им
3. на стороне сервера - если !empty хоть одно из них - банить бота с первой же попытки
Ну вообще-то поля с атрибутом disabled в массиве $_POST потом тупо отсутствуют, если ничего не путаю. Примерно как не выбранный чекбокс.

Ну и как бы нафиг надо, ибо против брутфорса работает другой механизм.

Тем паче, что методика копипаста перешла на новый уровень - существуют библиотеки, понимающие, какое поле скрыто, какое торчит в странице видимым образом. Все эти зловредные боты никогда не пишутся с нуля, они тупо собираются, как конструктор, из таких вот библиотек. Так что все эти пионерские хитрости давно не актуальны.

И да, есть много сервисов типа "введите URL страницы и получите её в виде PDF". Они тоже используют ровно те же самые библиотеки, и в PDF-е на выходе сервиса вы не увидите скрытых полей.

Бот их тоже заполнять не станет :)
judgefog