Комментарии 9
Надеюсь, этот модуль не найдёт широкого распространения, так как я флэш не использую принципиально. Да и на многих мобильных устройствах его нет.
Я отключил флеш-плагин в основном браузере. Я пролетаю с вашими сайтами?
У меня тоже нет флэша уже очень давно, а на MacBook Air его вообще нет по-дефолту, не говоря уже о мобильных девайсах. Затем, флэш элементарно декомпилится, узнать алгоритм шифрования куки не составит труда. Тупиковый метод мне кажется.
Надеюсь я такого никогда не увижу в живую, только как академическое пособие «как не надо делать ваш сайт».
в случае ресурса, ориентированного на среднего десктопного пользователя, вполне себе можно взять на заметку как ОДИН ИЗ способов предотвратить атаку на некоторое, не столько малое время (декомпилить Flash не каждый додумается с первого раза, при условии что DDoS-ботнеты далеко не всегда эксплуатируются «технарями/разработчиками»).
спасибо, полезный материал.
спасибо, полезный материал.
Очень интересное решение!
Для сайтов, на которых флеш обязателен (к примеру, масса видео-роликов и т.д.) имеет полное право на жизнь.
Для сайтов, на которых флеш обязателен (к примеру, масса видео-роликов и т.д.) имеет полное право на жизнь.
Не знаю в тему или нет, но нв всякий случай приведу код как при помощи LUA вставить куки прямо в Nginx, без всяких Flash, Fcgi и бекенда
header_filter_by_lua '
local headers = ngx.header["Set-Cookie"]
if headers then
if type(headers) == "string" then
headers = {headers}
end
for i, header in ipairs(headers) do
local cookie = ngx.re.match(header, "JSESSIONID=([^;]+);", "io")
if cookie then
headers[i] = "JSESSIONID=" .. cookie[1] .. "; domain=.frontend.com; path=/newpath;"
end
end
ngx.header["Set-Cookie"] = headers
end
';
<source>Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Модуль nginx для борьбы с DDoS, ставим cookie через Flash