Merhaba,

*1)* *$_SERVER['HTTP_REFERER'**]* değişkenini kontrol ederek isteklerin
siteniz üzerinden mi yoksa başka bir yerden mi geldiğini anlayabilirsiniz.
Yalnız üzerine düşen birisi HTTP header'ına sahte *REFERER *koyarak talebin
siteniz üzerinden geliyormuş gibi algılanmasını sağlayabilir.

*2) *Session koruması da eklenerek aşılması güçleştirilebilir. Bu sefer
giriş sayfasındaki session id'ninde HTTP header'a katılması gerekecek.

*3)* Başka bir önlem de giriş/ana sayfasına koyacağınız gizlenmiş bir AJAX
ilk session id'nin eşleniği ikinci bir session id'yi set edebilir.

*4)* Eğer script'inizi birisi kendi sitesi üzerinde veya bir yerel
uygulamayla flood edecekse IP koruması ekleyebilirsiniz. Yani bir adres
dakikada şukadar istek yapabilir. Sitenizin normal ziyaretçilerinin
adresleri herzaman farklı olacaktır.

*5)* Sizin durumunuza uyuyorsa *CAPTCHA *yöntemlerinden birini de kullanmayı
düşünebilirsiniz.

Genelde flood HTTP isteklerini taklit eden otomatize yazılımlarla
gerçekleştirilir. Bir php veya binary uygulama sunucuya bir soket açarak
HTTP istekleri gönderir. Böyle bir durumda genellikle *3. yöntem* sonuç
verir. Otomatize istemci javascript kodlarını yorumlayamayacağı için temel
bir CAPTCHA koruması sağlamış olursunuz.

Aslında domain.com/ üzerinde ziyaret edilsin başka yerlerden edilemesin
konusu pek mümkün değil. Sadece yukarıdaki yöntemlerin birkaçını kullanarak
işi zorlaştırabilir karşı tarafın pes etmesini umabilirsiniz. Nacizane
fikrim.

İyi çalışmalar.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Özgür Koca
Adres: Samsun, E.M.L Web Teknolojileri Dalı Şefi
Tel: (362) 231 6855, GSM: (505) 282 2452
http://www.tankado.com/ ¦ ozgurkoca[at]gmail.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

_______________________________________________
Linux-programlama mailing list
Linux-programlama_at_liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
Received on Mon 01 Dec 2008 - 19:16:37 EET