5900
« : 10 Июня 2002, 02:44:52 »
Мда, впервые в жизни меня благодарят за придирство...
По поводу сессий.
Беда в том, что ты себе представляешь все это очень абстрактно.
Вот ты говоришь "скрипт, который проверяет время создания сессии ". Какой сессии? Он берет откуда-то список? Откуда? Стандартно ид сессии приходит от браузера клиента. А здесь? Наверное, как-то можно извратиться, и читать напрямую файлы сессий, перебирать, анализировать и убивать...
Но это не кажется мне удачным решением.
По поводу голосования.
Комбинировать куку и IP я считаю нецелесообразным - слишком разные методы. Кука идет клиенту, а айпи - в базу.
Я бы делал так.
1. проверял, работают ли куки. Если нет - вежливо извинялся о недоступности голосования.
2. Если да - давал голосовать и ставил куку со временем голосования
3. в зависимости времени из куки выводил или нет форму.
4. Писал бы лог - с айпи и временем голосования. Но никак бы по айпи не ограничивал.
Объясняю. Берем нормального юзера. Он проголосовал. Все нормально.
Берем хакера. Он стирает куку и голосует. УРА! Накрутка работает. Он накручивает и благополучно ложится спать.
Утром тебе скриптик доклабывает - с такого-то айпи подано 100 голосов. Ты их по-тихому вырезаешь.
Если же хакер видит, что его забанили по айпи, то он начинает искать прокси и всякие другие гадости.
Правда, у меня давно уже бродит в голове идея проверять айпи-адреса на наличие анонимного прокси на этом адресе, и автоматически не пускать с таких адресов.