Защита скрипта от несанкционированного вызова

Вот что не понятно:


Как значение после преобразования JS может быть записано в сессию? Ведь JS выполняется уже на стороне клиента.
Я так понимаю, что при открытии страницы в сессию и в скрытое поле записывается какое-то исходное значение, которое потом на стороне клиента модифицируется при помощи JS и передается обработчику через POST. А в обработчике при помощи php применяется точно такой же алгоритм модификации того самого исходного значения, сохраненного в сессионной переменной. И результат сравнивается с параметром, полученным из POST.
Я правильно понимаю? Аж вспотел, пока формулировал.

Да, всё верно.

-----
PostgreSQL DBA

Спасибо.
Первый и третий пункт реализовал, а для второго надо поближе познакомиться с JS.
И вот еще какая закавыка. Чтобы тестировать защиту, надо уметь имитировать нападение. Если первый пункт (временной интервал) можно протестировать и "вручную", при помощи браузера, то для остальных нужен робот.
Пошел искать в Гугле, как написать робота. Вот так и становятся злыми хакерами. Он ведь тоже, наверное, когда-то был добрым. Потом его кто-то обидел, и он стал злым.

_tvlad хз кто там добрый
но
если уж атаки с 2ух провов нопиши им гневное письмо
и логи вложи
))))
(Добавление)
голосование не накручивают со злости
либо школьник дурью мается
либо конкуренты наняли
(Добавление)
скорее первое
либо наняли ламера))
(Добавление)
а лучше задействуй для этого заказчика
для большего офциоза
(Добавление)
+ рисанешся типа вычислил откуда ноги растут)) гыыы)))

Не иначе, кто-то кому-то пузырь поставил.
Формально я мог бы вообще ничего не предпринимать: в ТЗ про защиту не было ни слова, и никто мне за дополнительные телодвижения уже не заплатит. Но есть азарт и любопытство.
Так что спасибо пионеру, у меня есть стимул для развития.

Давай попробуем - выйди в аську

-----
Шта? Репозиторий?

DeepVarvar лениво))
_tvlad еще есть момент
есл не дурак писал робота то робот проверит после работы инкремент голосов
тогда есл робота поймал надо ему отдать контент с лжеинкрементом))
чтоб при настройке бота хакер не напрягся и не стал копать исходнк а лег спать))

Заработала защита, попал хакерок! (Неудачные попытки я тоже регистрирую.)
Осталось еще придумать какой-нибудь дикий алгоритм смены алгоритмов, и всё, салют мальчишу!
Спасибо всем за помощь!

rand

Если rand, то надо будет как-то передавать номер алгоритма обработчику. А если формировать его, к примеру, из даты (чтобы менять раз в день), то JS-функция и php-обработчик смогут вычислять его независимо друг от друга.

в сессию пиши номер алгоритма

Тут я еще не совсем уверен, может ли робот сначала правильно открыть сессию, открыв страницу голосования, а потом уже атаковать, т. е. обращаться к скрипту с передачей нужных параметров. Если может, то сессионные переменные не спасут (кроме, разве что, измерения промежутка времени, к которому, впрочем, легко подстроиться, если понять, что дело в нем).
Надо бы углубиться в тему ботостроения.

чиивоо?

Может и глупость сказал, не знаю. Не владею пока темой. Но это пройдет.

Я стал регистрировать причину его неудачных попыток и пришел к интересному выводу: всё-таки он каким-то образом голосует с моей страницы. Сессионная переменная определена, в скрытых полях - правильная информация, и единственное, что ему мешает - временной интервал.
Мне что-то говорили про фреймы и jQuery, с помощью которых, вроде, можно автоматически нажимать на чужие кнопки. Может, кто-нибудь про это знает?