Новая тема   Ответить

 Lang
Есть домен на дедике. Необходио отсеять тех, кто зашёл на сайт через прокси. Т.е. сделать им редирект куда-то подальше от тематики сайта.
Как сделать?

Спасибо!

 bb-support
Проверять в скрипте на входе заголовки HTTP_FORWARDED, HTTP_X_FORWARDED_FOR, HTTP_VIA и т.д., и делать вывод.
Но если прокси полностью анонимная то и их не будет.

 Lang


а если очень надо все прокси отсекать?

 Sha
Проверяешь с какого IP пришёл пользователь и узнаёшь есть там прокси или нет.
Как узнать - твои проблемы. Можно попытаться ткнуться в порты 8080, 1080.
Можно у прокси-провайдеров спросить какие IP они выделяют для своих клиентов под внешний адрес. Но сомневаюсь что они это скажут.
В общем же случае задача не решаема. Мало того бессмысленная.

 Sterx
у некоторых социалок существуют списки IP проксей
при попадании в этот список - по сути блеклист, в социалку не попасть

 bb-support
+1 задача не решаемая для анонимных прокси, полные списки никогда не найдёшь, висеть оно может на каком угодно порту, и еще и порт может быть зафильтрован от посторонних.
К тому же, это насколько замедлятся скрипты, если каждого посетителя так пробивать на наличие прокси.
Так что только фильтровать тех кто легко палится.

 Lang
bb-support писал:

т.е. по модулю GeoIP
жаль, жаль, что нету средств фильтровать прокси..
брутфорсят всякие через прокси, хрен поймёшь в логах кого банить по айпи за брутфорс, а кого за 3-4 попытки вспомнить пассворд(

 Dr.Syshalt
Lang: ты просто не с той стороны задачу решаешь. Проблема не в проксях, а в возможности брутфорса.

 Sterx
+1
брутфорс решается ограничением попыток авторизации за определенный промежуток времени

 Dr.Syshalt
Sterx: извини, но ты перепутал, наверное. Такой подход нормален для консолей или протоколов типа ssh, где существует сессия. В безсессионном протоколе типа http такой подход не будет работать. Ты всем юзерам установишь ограничение, сколько их ни есть? Или на IP?

Тут другой подход нужен. Просто не надо опираться на встроенную авторизацию HTTP (ака "через htaccess"). Страница. Которая создает сессию. В которой производится логин - с капчей.

Все. Пусть подбирают. Заебутся.
Делал еще пять лет назад, когда заебали вот точно так же.

 Lang
на каждый скрипт АВМа найдётся контр-скрипт хацкера)

а идея отсыланах проксей решила бы проблему интересующихся русских дрочеров
их очень неохотца пускать!

 Dr.Syshalt
Lang писал:

*пожимает плечами*
Не хочу нагнетать обстановку :} но у этих людей, которые дрючат мемберки брутфорсом, свои борды, где они поддерживают списки проксей - там на многие сотни и тысячи счет. Я админил платники - поверь, знаю, о чем речь. Удачи в гонке ;)

 alex.raven
так а в чем проблема? купи списки проксей и заблеклисти их ))
ну там никакой гарантии, но имхо, процент брутфорса упадет.

UPD: нас брутфорсили через ботнеты, но и базы по ботнетам тоже достать можно. нужно анализировать, что именно и как брутфорсят. почти всегда можно отсекать процентов 90 брутфорса.