Olen tekemässä yksinkertaista klikkauspeliä javascriptiä käyttäen.
Aina kun nappulaa painetaan niin klikkauslaskuri kasvaa.
Nyt ongelmana on nuo botit, jotka voidaan pistää klikkaamaan nappulaa.
Siksi olenkin tehnyt niin, että aina kun klikkauspeliä pelataan arvotaan
pelille satunnainen taustakuva. Sen lisäksi aina kun nappulaa painetaan, se vaihtaa paikkaa, taustaa ja joskus lähtee myös hieman liikkeelle.
Ovaatko nämä tarpeeksi hyvät estot huijaamiselle, vai pystyykö joku helpostikin
väsäämään botin joka tunnistaa nappulan näytöltä näistä estoista huolimatta?
On olemassa web-käyttöliittymien testaamiseen tarkoitettuja järjestelmiä, jotka käyttävät id-attribuutteja sekä xpathia linkkien, syöttökenttien ja nappien löytämiseen. Näitä järjestelmiä on toteutettu eri skriptikieliä käyttäen. Eli vastaukseni on että visuaaliset hämäykset eivät riitä.
Mutta entäs jos käytänkin kuvaa nappulan sijasta, onko tuollaisten "järjestelmien" käyttö edelleenkin mahdollista?
No mitäs haittaa niistä boteista sitten on? Eli miksi ne pitäisi estää?
Tumettaja kirjoitti:
Mutta entäs jos käytänkin kuvaa nappulan sijasta, onko tuollaisten "järjestelmien" käyttö edelleenkin mahdollista?
Botit eivät tutki sitä, miltä sivu näyttää. Ne lukevat vain lähdekoodia, joten ei ole väliä millaisia visuaalisia kikkoja yrität käyttää. Lähdekoodista löytyy kaikki.
Mutta mitä haittaa boteista on? Tallentuuko tulos johonkin?
Joo, Javascript on huono kieli tollaseen, kun botit pääsee lukemaan suoraan lähdekoodia. Java:lla tai flashilla toteutettuna ne ei näkis muuta kun mitä näytölle piirtyy, ja tällön liikkuva nappi voisi jopa ehkä toimiakin estona.
Melkein sanoisin että helpompaa on toteuttaa botti esto jollain yksinkertaisella laskutoimituksella, tms.. jonka ihminen kyllä tajuaa, mutta botti ei. Karsitaan sitten tietojen prosessointi vaiheessa kaikki lomake syötteet joissa tämä "turva" kysymys on väärin.
Edelleenkään en ymmärrä tarvetta bottitarkistukselle jos se on tehty kokonaan javascriptillä. Ja vaikka javascriptin lisäksi olisi tehty joku highscore-systeemi palvelimen päähän, niin käyttäjä joka haluaa huijata voi väärentää sen javascriptin lähettämän highscore-ilmoituksen. Eli miksi kukaan käyttäisi bottia tai mitä lisähaittaa sellaisen käyttämisestä olisi?
Aihe on jo aika vanha, joten et voi enää vastata siihen.