Hallo,
als Nicht-C++-Programmierer habe ich eine Frage an die Profis.
Es geht darum, dass ich Skript-/Bot-Nutzer in Browsergames ausbremsen will.
Ich möchte so weit wie möglich (und soweit noch sinnvoll/praktikabel) verhindern, dass aus einem HTML-Dokument Elementbezeichner herausgelesen werden, also beispielsweise:
Durch entsprechenden Aufwand ist es mir momentan möglich, die direkte Anzeige im Quellcode der Seite zu vermeiden. Ausserdem werden die Bezeichner per Zufallsfunktion generiert. Dies funktioniert einschliesslich der weiteren Verarbeitung insgesamt alles sehr gut.
Nun zu den Problemen:
1. Im Javascript-Teil wird noch die Datei genannt, die das alles enthält. Die Datei lässt sich direkt aufrufen, und der erzeugte HTML-Code enthält dann klar lesbar die Bezeichner und Werte. Durch die Zufallsgenerierung kann ein Skript-/Bot-User zwar die aufgefundenen Namen nicht direkt bzw. nur 1x verwenden, aber er braucht ja auch nur das, was zwischen den Anführungszeichen nach 'name=' steht. Dadurch ist der gesamte Aufwand untergraben. Es muss also auf jeden Fall verhindert werden, dass die Datei nach (verbotenem) Direktaufruf echten Quelltext enthält.
2. Wenn das alles geregelt ist, dürfte das Gröbste geschafft sein.
Aber es dürfte für Programmierer noch die ein oder andere Möglichkeit geben, die POST-Daten herauszulesen. Meine Frage hierzu wäre, was z. B. ein C++-Programmierer erreichen kann, wenn er nicht mehr auf den Quelltext, sondern nur noch auf die POST-Daten zugreifen kann. Da ich das mangels Fähigkeit nicht selbst prüfen kann, wäre ich für Tipps (theoretischer und hypothetischert Art, natürlich ) dankbar.
als Nicht-C++-Programmierer habe ich eine Frage an die Profis.
Es geht darum, dass ich Skript-/Bot-Nutzer in Browsergames ausbremsen will.
Ich möchte so weit wie möglich (und soweit noch sinnvoll/praktikabel) verhindern, dass aus einem HTML-Dokument Elementbezeichner herausgelesen werden, also beispielsweise:
Code:
<input type="text" name="geheimerinput" value="strenggeheim">
Nun zu den Problemen:
1. Im Javascript-Teil wird noch die Datei genannt, die das alles enthält. Die Datei lässt sich direkt aufrufen, und der erzeugte HTML-Code enthält dann klar lesbar die Bezeichner und Werte. Durch die Zufallsgenerierung kann ein Skript-/Bot-User zwar die aufgefundenen Namen nicht direkt bzw. nur 1x verwenden, aber er braucht ja auch nur das, was zwischen den Anführungszeichen nach 'name=' steht. Dadurch ist der gesamte Aufwand untergraben. Es muss also auf jeden Fall verhindert werden, dass die Datei nach (verbotenem) Direktaufruf echten Quelltext enthält.
2. Wenn das alles geregelt ist, dürfte das Gröbste geschafft sein.
Aber es dürfte für Programmierer noch die ein oder andere Möglichkeit geben, die POST-Daten herauszulesen. Meine Frage hierzu wäre, was z. B. ein C++-Programmierer erreichen kann, wenn er nicht mehr auf den Quelltext, sondern nur noch auf die POST-Daten zugreifen kann. Da ich das mangels Fähigkeit nicht selbst prüfen kann, wäre ich für Tipps (theoretischer und hypothetischert Art, natürlich ) dankbar.
Comment