идентификация клиента

[schnaps]

Здравствуте! вот мне тут нужно решить задачку, прошу помощи. Суть задачки следующая

имеется вэб-сервер, к нему имеется десктопный клиент. эти двое значит, обмениваются информацией, и клиент может передать на сервер команду, ну скажем увеличить некий счетчик. суть проблемы в том что при передаче используется протокол http и пользователь может сжулить, посмотрев сниффером структуру запроса (команду) и набрать из браузера аналогичную, что поведет увеличение того самого счетчика. так вот как то требуется на сервере идентифицировать что запрос был послан именно десктопным клиентом, а не каким то другим методом. мне требуется только идея, то бишь спихнуть мой заезжанный моск с мертвой точки.... заранее спасибо!

[grenles]

НУ я так по логике думаю. что если клинет может подсмотреть. то он может подглядеть и все прочее.

1. Можно попробовать потребовать повторное подтверждение, скажем в течении 10-15 и если его нет - отбить счетчик назад. Однако в этом случае клиент может извернуться и заранее подготовить второй запрос.
Правда его можно усложнить использованием псевдослучайного числа и проверять его на сервере.

Не очень понятно что у клиента. Если своя программа -то все просто выбери любой алгоритм шифрования данных с ключом и проверяй, как пришли данные. Клиент вряд ли подберет ключ, если не увидит код.

А запросы можно хранить и повторный приход ключа от того же клиента - это лажа. Правда анализ на приход ключа одного и того же от разных клиентов.

2. Либо слать несколько запросов из которых будет собираться один. Если что-то не дошло или разрыв по времени большой - лажа. Хотя... зачем засорять эфир.

НУ как-то так.

[BARNEY]

ну вариант тупо по ip региться на сервере клиентом... Типо я такой вот хороший мой ip такой... а потом запросы... Если без регистрации то хрент тебе

[schnaps]

Цитата:

Сообщение от BARNEY

ну вариант тупо по ip региться на сервере клиентом... Типо я такой вот хороший мой ip такой... а потом запросы... Если без регистрации то хрент тебе

нет, дело не в том что с другого компа баловаться будут... тут SSL спасет тока в путь... дело в том что например я послыаю запрос из программы (использую Indy):

Код:

s := HTTP.Get('http://server.com/index.php?upcount=1');

а скрипт index.php уже обрабатывает входной параметр и увеличивает скажем некий счетчик (счетчик для простоты восприятия)

или то же самое введу в строку браузер например, эффект будет одинаковым, мне нужно чтоб из клиентской программы команда выполнялась, а из других мест не выполнялась... то есть надо как то однозначно определить что запрос пришел от нужного клиента, а не сформирован вручную или отправлен как то еще

[schnaps]

Цитата:

Сообщение от grenles

1. Можно попробовать потребовать повторное подтверждение, скажем в течении 10-15 и если его нет - отбить счетчик назад. Однако в этом случае клиент может извернуться и заранее подготовить второй запрос.
Правда его можно усложнить использованием псевдослучайного числа и проверять его на сервере.

не канает, серверная часть думаю усложнится дп и ничего это не даст....

Цитата:

Сообщение от grenles

Не очень понятно что у клиента. Если своя программа -то все просто выбери любой алгоритм шифрования данных с ключом и проверяй, как пришли данные. Клиент вряд ли подберет ключ, если не увидит код.

ну и что что шифрование? снифером смотрится что пошло к серваку ну и пошлем ручками то же самое... мне неважна целостность данных, мне важна идентификация клиента....

[schnaps]

единственно что пришло на ум это прицеплять к запросу метку времени и шифровать строку с запросом, на сервер расшифровывать. И хранить хистори запросов на сервере какое то время, каждый раз проверять и при наличии запроса который уже есть в базе отпинывать его.. чистить базу раз в неделю например....

[BARNEY]

Ихмо ресурсо затратно пару ссылок отслежу и логически сам увеличу счётчик на нужное количество.. Да и шифровка расшифровка занимает время... + ещё и инет...

[schnaps]

тогда какие предложения?

[JTG]

Можно сделать что-то на основе этого, http://programmersforum.ru/attachmen...9&d=1251280197
Смысл в том, чтоб вместе с командой передавать некий случайный ключ, алгоритм генерации которого знает только программа и скрипт на сервере.
(да, там TStrings заменить надо на TStringList, давно писал - не знаю каким чудом оно работает)

[schnaps]

нод говорит там трой сидит который дэльфи заражает, скинь исходник сюда?