[Lindahl]

Håller på att skapa en tjänst på en hemsida. Tjänsten skall gå att testa gratis och fungera som en demonstration av vad det är man kan köpa. Nu är frågan, hur ska jag göra för att tjänsten inte ska missbrukas? Det jag vill förhindra är att man sätter en robot att ladda sidan om och om igen. Om en användare manuellt utnyttjar tjänsten 100ggr per dygn gör inte så mycket, det är som sagt robotarna jag vill ha bort.

Skulle i någon form vilja begränsa till låt säga maximalt 10 anrop per dygn. Vilka metoder finns, och vilka är bäst? Har funderat på några:

1) Logga ip-nummer i databas och endast tillåta 10 anrop per ip och dygn.
2) Bara släppa igenom webbläsare med cookie, och sedan lagra antalet anrop i cookien. Går ju lösa för den illvillige genom att deleta cookien om och om igen, men det är ju lite jobbigare, är nog dock enklast att implementera.
3) Bara släppa delar av tjänsten tillgängliga i demonstrationen. Detta är väl den säkraste metoden, men jag tycker att den är lite tråkig, då en stor del att värdet ligger just i att allt finns tillgängligt.

Jag lutar just nu åt metod 2 just med tanke på det är robotarna jag vill stoppa.

Idéer och förslag mottages tacksamt.

[DeSoto]

Du kanske kan kombinera tvåan med att generera fram en bild med bokstäver/siffror i som robotar inte kan läsa, och att man måste fylla i det i ett fält.

[elf98]

Förslag nummer 2 täcker ju in väldigt många, som backup kan du ju faktiskt använda förslag nummer 1.

Det vill säga du tillåter bara webbläsare med cookies, med en restriktion på X antal queries per ip oavsett vad den eventuella kakan säger.

Båda lösningarna torde vara relativt enkla att implementera.

Problemet med att lägga en begränsning på IP skulle väl kunna vara användare som sitter på ett stort NAT:at nät. (Finns det sådana nät fortfarande öht?)

[Gustaf]

jag tror inte det finns så många NAT-nät i sverige. Men eftersom man vill ha med alla skulle jag nog använt cookie+bild, det är nog lagom, kanske även lagra yttre IP+inre IP och begränsa antalet anrop på det viset, men inte enbart använda yttre IP iaf.

[eg0master]

Citat:

Originally posted by elf98@Nov 23 2005, 12:43
Problemet med att lägga en begränsning på IP skulle väl kunna vara användare som sitter på ett stort NAT:at nät. (Finns det sådana nät fortfarande öht?)

Typ alla företag med mer än ett fåtal anställda lär köra NATat...

Jag tror som du själv kommit på att om du kräver cookies så kommer du blocka alla bots. Om det dock skulle dyka upp en bot som klarade cookies så är väl en backuplösning med IP i databasen ett bra komplement.

[eg0master]

Citat:

Originally posted by techtigo@Nov 23 2005, 14:05
jag tror inte det finns så många NAT-nät i sverige. Men eftersom man vill ha med alla skulle jag nog använt cookie+bild, det är nog lagom, kanske även lagra yttre IP+inre IP och begränsa antalet anrop på det viset, men inte enbart använda yttre IP iaf.

Jag är väldigt intresserad av förklaringen till varför NATade när inte skulle användas "i sverige". Ännu mer intresserad av hur du får reda på "inre IP"...

[Gustaf]

nej jag hade nog fel, tänkte på HTTP_X_FORWARDED_FOR men det funkar ju bara för proxys, inte för NAT.

Citat:

så många NAT-nät

jag sa inte att det inte finns. Större företag kör ofta NAT, men små har ofta öppna adresser.

[eg0master]

Citat:

Originally posted by techtigo@Nov 23 2005, 14:50
jag sa inte att det inte finns. Större företag kör ofta NAT, men små har ofta öppna adresser.

Jag skulle hävda motsatsen.
De allra flesta företag (utom mindre IT-bolag möjligen) har ett fåtal publika IP-addresser (oftast bara en eftersom det är den enda de får från sin ISP). Är inte algoritmen väldigt enkel? Om du har fler datorer anslutna till internet än antalet publika IP-adresser så måste du köra NAT:at.
Även på mycket små företag har man säkert en arbetsstation och en server, men bara en IP-adress. Jag må ha fel på den här punkten men jag skulle bli uppriktigt förvånad om mer än något fåtal procent av alla företag med mer än en anställd körde utan NAT. Genomsnittet om du tar med alla enmansföretag lär inte öka speciellt mycket. Och många privatpersoner kör även de med NAT (eftersom de har någon liten "ADSL-brandvägg" motsv) då de har fler burkar än IP. Jag tycker all logik talar för att de flesta befinner sig på NATade nät och skulle gärna se någon statistik som bevisar motsatsen.

[Gustaf]

jo statistik skulle inte vara fel. Dock tror jag det är en hel del folk som kör med http-proxys. NAT är ju inte precis det enda alternativet.

[Lindahl]

Nu spårade det visst ur lite, men att använda en bild typ nic.se verkar ju vara rätt metod att använda (för att återgå till topic). Tack för det tipset.