想了很久睡前還是講一講 因為看到標題 API 想到最近的各種搶 搶 Switch 搶票 搶 xxoo 然後就有人在問 為什麼不限制 為甚麼不加上一個 圖形識別就好 這麼簡單還要問? 其實沒這麼簡單 因為不是甚麼專業的工作說明 我就不寫得很細了 有興趣的可以自己找資料 圖形識別 Captcha 這個已經被認為是無效的 因為翻久了就可以翻出同樣的 更不用說隨手 Google 就可以翻出一堆 Bypass 機制 但為什麼現在主流還是用這個 因為簡單嘛 反正擋一個是一個造成不方便就不是他的事了 所以又有人說了 那不會用 Google ReCaptcha ? 這個也被證實可以被 Bypass 做這兩個一點都不容易 因為常態性的放置上去 會造成系統的負擔 跟維護困難 所以我一直在想這些使用的網站 遇到大流量到底撐不撐得住 回到機器人行為 要想講一下不是大流量會搞掛系統 而是連線數 所以政府每年攻防演練 發生過一個笑話 明明流量打不高 但是系統掛了 主要就是連線數太高 常常發生的是 網站沒掛 但是購物車加不進去 或是要一直登入系統 就是後端 DB 掛了 怎麼防 DB 不會掛 這個不是這邊的問題就不說了 來講正題 網頁板 這個阻擋最容易 為什麼 1. 檢查有沒有 Cookie 當使用者連上來時 先塞一個 Cookie 然後看看這個 Cookie 是不是被重複使用 或是沒有看到 Cookie (Script 沒辦法帶 Cookie) 2. 檢查有沒有重複 IP 3. 檢查是不是使用 Browser (這個可以寫個 JS 去檢查) 4. 檢查 User Agent 通常上面三點就可以擋死一半以上的搶購行為 也有人提出一個做法 把網頁 Hash 過 然後讓人找不到進入點 點子很棒 但是你需要一台設備去解碼 流量負擔更重 有幾個企業在用 我不好說是哪幾間 也不要來問我 :p Native App 這個阻擋比較難 但也不會很難 因為你 Autofill 很容易抓出來 或是用流程方式去抓 簡單寫一下因為有人喊我去睡了 我只是看到一堆人在喊怎麼擋機器人行為 忍不住寫一寫 不太想寫 Blog 太累 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.243.188.35 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MenTalk/M.1590693580.A.DE9.html 只是記錄一下 這種文沒人愛看的 :p ※ 編輯: LongRanger (111.243.188.35 臺灣), 05/29/2020 08:35:49