Какую защиту применить в программе.

[xpu]

Ecть caмaпиcный coфт, кoтopый oбpaщaeтcя к yдaлeннoмy http cepвepy. Cepвep выдaeт индивидyaльный идeнтификaтop для кaждoгo нoвoгo пoдключившeгocя клиeнтa. Пpoблeмa в тoм, чтo пpoшapeнный пoльзoвaтeль мoжeт нaгeнepиpoвaть ceбe кyчy тaкиx идeнтификaтopoв пyтeм oтпpaвки пoдгoтoвлeнныx http-зaпpocoв. Чтo мoжнo cдeлaть c cepвepнoй и клиeнтcкoй чacтью, для пpeдoтвpaщeния дaннoй cитyaции?

[Serge_Bliznykov]

трудно советовать, не видя конкретики - как обращаются между собой сервер и программа, что представляет собой идентификатор и т.д.
софт на стороне HTTP сервера тоже Вы пишете/он доступен для изменения?

Если к серверной части доступа у Вас нет и запрос на подключение к серверу такой простой, что его может понять "прошаренный" пользователь, то про защиту программы (точнее о том, что нельзя получить идентификатор без вашего клиентского ПО) - можете забыть...

p.s. всё вышесказанное является моим личным мнением и однозначно может быть ошибочным..

[Utkin]

Пусть удаленный клиент решит задачу. Допустим Вы высылаете набор определенных чисел (каждый раз разный), которые будут являться коэффициентами какого-нибудь уравнения. Пользователь должен вернуть решение . Так Вы будете уверены, что даете идентификатор именно Вашей программе, а не кому попало.

[xpu]

Сервер и клиентская программа самописные, т.е. имеется полный доступ. Софт на стороне сервера тоже пишу я. Сервер и клиент общаются через протокол HTTP. Идентификатор представляет собой набор цифр типа "000001", "000002". Пользователь не должен принимать никакого участия в получении идентификатора.

[Utkin]

Цитата:

Пользователь не должен принимать никакого участия в получении идентификатора.

Почему? И в данном решении я предлагал именно идентификацию программы на сервере, идентификатор же можете дать, какой Вам надо.

[xpu]

Цитата:

Сообщение от Utkin

Почему?

Потому что идея в том, что нужно что бы пользователь просто запускал программу-клиент и не беспокоился, каким образом происходит привязка софта к его компьютеру. Если привязываться к ip пользователя, тогда программа-клиент не сможет работать на машинах которые используют одинаковые прокси. Либо наоборот возможен вариант, когда "пользователь-хакер" получит больше одного идентификатора используя динамический ip.

[-=DeS=-]

Шифруй данные которые отправляются на сервер от клиента, а на сервере обратно расшифровывай и проверяй соответствие какой нибудь формуле, если ответ формулы верный отправляй либо так же шифрованый пакет, либо в открытом виде.
Ну к примеру запустили клиентскую прогу с идентификатором 150, она отправляет на сервер (предварительно зашифровав) строчку 10,50,150,90, сервер получив расшифровывает строчку складывает 10+50+90 сравнивает с третьим числом 150, если совпало отправляем ключ, если нет шлём нафиг... Примерно так

[xpu]

Цитата:

Сообщение от -=DeS=-

Ну к примеру запустили клиентскую прогу с идентификатором 150

Этот идентификатор предварительно нужно выдать клиенту при первом обращении к серверу. Выдачу их и нужно контралировать. Количество идентификаторов ограниченно и нельзя допустить выдачу нескольких на одну машину. Или я что-то не правильно понял?

[WildHunter]

Пропишите ID и все, что нужно, в куки. Дополнительно можно реализовать то, что вам советуют, идентификацию клиента по типу вопрос-ответ. Тогда все это будет выглядеть так:
1.Сервер проверяет куки на пользовательской машине, если они отсутствуют, то методом вопрос-ответ проверяется, что это ваша программа, а не что-то другое. Реализовать это просто: сервер выдает случайное число, например 211211, клиентская программа должна его обработать по определенной формуле, например 211211*5-128 и выдать серверу ответ. Если сервер получает ответ 1055927, то пользователю выдается ID и прописываются куки. Если нет, то сервер не пускает.

2. Если при проверке куки обнаружены, из них читается ID и начинается работа. Для защиты во время работы не лишним будет использовать механизм сессий.

[xpu]

Ок. Всем спасибо. Думаю по другому никак, только достаточно удалить пользователю куки и он может получить новый ID.