※ 引述《alog (A肉哥)》之銘言： : 大概又是遠通自己家的工程師整死自己家的品牌 : 我們先個工具，模擬一下瀏覽器，因此我們先下一個指令 : curl "https://css.fetc.net.tw/CS/" --user-agent \ : "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Win64; x64; Trident/6.0)" : 會得到一段程式碼，而這段程式碼跟你看到的網頁一點關係也沒有 : 很有可能是為了要防止駭客或特定原因，設計一道小門檻，需要執行過才會出現系統畫面 : https://gist.github.com/anonymous/024a1cd3d56257665e01 : 但對於 Yahoo、Google 這種不會執行程式碼的搜尋引擎來說 : 這些資料跟垃圾一樣，完全不重要 : 因此你無法在 Yahoo 雅虎 或 Google 順利找到 遠通自助平台 : ※ 引述《cuhi (科科!!)》之銘言： : : 不知道版上是否有鄉民注意到 : : 現在上google查尋"遠通電收" : : 根本找不到通通電收的官網 : : 剛打去客服問,客服跟我說這部份要問google...XD : : 然後,想說高公司應該可以找到... : : 真的有...但是是神秘連結... : : http://www.freeway.gov.tw/Publish.aspx?cnid=1480&p=762 : : 我,真的無言了... 確實有問題 http://bit.ly/1lHdN8i google確實搜尋不到遠通電收的主頁 這應該... 也算是遠通的嚴重出包吧 如果搜尋引擎搜不到遠通etc的主頁 那就只能像二、三十年前一樣把網址背起來、抄在便條紙上或者存在我的最愛中 這... 遠通真的有出包 此外 這一段html和javascript的作用跟網頁也不是真的沒有關係 注意一下javascript的結尾是document.forms[0].submit(); 所以猜測的結果是他餵瀏覽器一段javascript程式請瀏覽器執行 要求瀏覽器能夠執行這段程式、並回傳結果才會丟出etc的主頁 類似看圖填數字之類的防蘿蔔機制(蘿蔔=robot 機器人) 假如蘿蔔有內建javascript的執行功能 那一樣有辦法破解 只是需要另外搭腳本、連上一堆有的沒的函式庫才能達到要求、並取得主頁 一般人不會那麼閒 但駭客就不一定了 執行一樣要花代價 或許對ddos的攻擊力多少有削弱效果 但因為etc給的javascript很簡單 就算自己寫簡單的字串處理一樣能回覆要求的javascript 或許執行速度還能勝過瀏覽器 那這麼作的必要就滿令人質疑了 http光資料傳遞的往返時間可能都超過幾百毫秒了 遠遠超過javascript執行時間 真的有這麼做必要嗎 我也搞不懂為什麼etc給的程式要這麼長 程式太長封包數反而變多 倒不如給個很短的程序 並提高執行所需時間和難度 怎麼講這種設計一點都不聰明啊 開一個網頁耗費的時間會影響到用戶的滿意度 根本違反初衷 唉呀 反正怎麼想都覺得很笨啊 怎麼會有員工做出這種產品 工讀生? 至於yahoo、google這種巨型的網站系統負荷能力夠強 能夠撐全球的用量根本不用怕ddos 所以也沒必要做 應該也不會有人模仿etc吧 這防駭的點子有點創意 只是 大型的網站真的很少人會效法 即使是容易被駭的網頁也會避免 甚至會把html的所有tag寫得非常完整 例如h1到h6、p、strong等等 目的是希望google或微軟等搜尋引擎去讀網頁的語意 並分析、整理重點 這對搜尋引擎的精準度很有幫助 etc如果為了擋蘿蔔連google等搜尋引擎一併擋下的話 很不值得啦 也不符合現代的網頁經營概念 請回去改一改 以上... 憑計概的觀念解答 補充一下 低流量的網站才需要嚴格處理對ddos的攻擊 大型的高流量網站真正需要做的是分流、伺服器規劃 並把錢花在硬體擴充上 軟體通常不會是第一道防線 除非... 沒錢買硬體下 才會用軟體做嚴格的存取限制 其實 看完原始碼後才發現tag寫得太機械化 切圖處理的痕跡也很明顯 該不會是用dreamweaver拉一拉兩小時內寫出來的吧 照一般資工系要求 傳統的網頁是用類似記事本的軟體像是notepad++打的 很少會重頭到尾只用到兩三種語法 這種情況應該只會出現在美工軟體的輸出上 現在很多企業為了節省成本招募員工都要求一定要會dreamweaver 而且只能用他來寫網頁 就算一類的用手拉完全不用寫程式一樣編得出來 缺點是看程式碼時很吃力 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 1.200.35.92 當然不行啊 ※ 編輯: lolololst 來自: 1.200.35.92 (03/17 08:53) 你用程式去fetch一樣也不會擋啊 就算不告訴google你的瀏覽器名稱也一樣會過 被google擋住可能是你朋友沒有偽裝 例如這種之類的 xxxxx.Request(tmpText,headers={'User-Agent' : "Mozilla/5.0 (X11; U; ...}) (以前寫過的程式碼) 基本上就算是蘿蔔正常使用下應該不太會去care 當然你朋友的查詢不屬於正常範圍 真正會擋的是那種資料搜集網站 像是rotten tomato之類的 會挑你的瀏覽器描述 但很容易騙 一兩行程式碼就過了 防不勝防 ※ 編輯: lolololst 來自: 1.200.35.92 (03/17 09:07) ※ 編輯: lolololst 來自: 1.200.35.92 (03/17 11:53)