想了很久睡前還是講一講 因為看到標題 API 想到最近的各種搶
搶 Switch 搶票 搶 xxoo 然後就有人在問 為什麼不限制 為甚麼不加上一個
圖形識別就好 這麼簡單還要問? 其實沒這麼簡單 因為不是甚麼專業的工作說明
我就不寫得很細了 有興趣的可以自己找資料
圖形識別 Captcha 這個已經被認為是無效的 因為翻久了就可以翻出同樣的
更不用說隨手 Google 就可以翻出一堆 Bypass 機制 但為什麼現在主流還是用這個
因為簡單嘛 反正擋一個是一個造成不方便就不是他的事了
所以又有人說了 那不會用 Google ReCaptcha ? 這個也被證實可以被 Bypass
做這兩個一點都不容易 因為常態性的放置上去 會造成系統的負擔 跟維護困難
所以我一直在想這些使用的網站 遇到大流量到底撐不撐得住
回到機器人行為 要想講一下不是大流量會搞掛系統 而是連線數 所以政府每年攻防演練
發生過一個笑話 明明流量打不高 但是系統掛了 主要就是連線數太高
常常發生的是 網站沒掛 但是購物車加不進去 或是要一直登入系統 就是後端 DB 掛了
怎麼防 DB 不會掛 這個不是這邊的問題就不說了 來講正題
網頁板 這個阻擋最容易 為什麼
1. 檢查有沒有 Cookie
當使用者連上來時 先塞一個 Cookie 然後看看這個 Cookie 是不是被重複使用
或是沒有看到 Cookie (Script 沒辦法帶 Cookie)
2. 檢查有沒有重複 IP
3. 檢查是不是使用 Browser (這個可以寫個 JS 去檢查)
4. 檢查 User Agent
通常上面三點就可以擋死一半以上的搶購行為 也有人提出一個做法 把網頁 Hash 過
然後讓人找不到進入點 點子很棒 但是你需要一台設備去解碼 流量負擔更重
有幾個企業在用 我不好說是哪幾間 也不要來問我 :p
Native App 這個阻擋比較難 但也不會很難 因為你 Autofill 很容易抓出來
或是用流程方式去抓
簡單寫一下因為有人喊我去睡了 我只是看到一堆人在喊怎麼擋機器人行為
忍不住寫一寫 不太想寫 Blog 太累