Можно ли узнать точное время сохранения сессии

@cilin · Регистрация: 02.02.2011

Студворк — интернет-сервис помощи студентам

Собственно сам вопрос в заголовке темы. Можно ли узнать точное время сохранения сессии в секундах не сохраняя данную информацию в теле сессии. Это нужно для защиты сервера от дос атак. Возможно кто знает более элегантный способ отследить время ответа пользователя на сообщение формы. Заранее спасибо за ответ!

@margarita2001 · 03.02.2025, 14:05

Если сессия сохраняется в файле, то время создания файла.

Сообщение от cilin

Это нужно для защиты сервера от дос атак.

Как это может помочь?

Сообщение от cilin

время ответа пользователя на сообщение формы.

Это может быть не время создания, а время изменения. Возможно, сессия уже была и при ответе пользователя на сообщение формы - эта сессия изменилась (получила еще одно значение). Лучший вариант - это сохранять в базе это время. В одном поле время, в другом поле ip посетителя. Если это пользователь, то еще и его логин.

@cilin · 03.02.2025, 14:19 **[ТС]**

JavaScript
1
2
3
4
res.cookie('token', '12345ABCDE', {
    maxAge: 3600 * 24,
    secure: true,
});

Мы уже отдали пользователю печенюшку с формой для регистрации в гет запросе. Если форма обрабатывается ботом или компом, ответ придет менее чем через секунду в зависимости от интернета, а если это человек, то ему нужно время для заполнения формы. Задача, получив пост посылку узнать когда пользователю засунули печенюшку и вычислить время ответа формы.

@voraa · 03.02.2025, 14:30

Посылай еще один кук со временем.
При ответе он вернется, будешь знать, когда послал его.

@margarita2001 · 03.02.2025, 14:37

Сообщение от cilin

Если форма обрабатывается ботом или компом, ответ придет менее чем через секунду в зависимости от интернета, а если это человек, то ему нужно время для заполнения формы.

Очень интересное решение. Для тех, кто это не знает - сработает. А вообще, можно программно в боте установить выдержку времени.
Я поняла, что это форма регистрации? Значит защита не от доса, а от брута. Подбирать пароли это очень долго. Вряд ли кто-то будет этим заниматься. Можно просто поставить капчу для защиты при регистрации и для входа.

@cilin · 03.02.2025, 14:52 **[ТС]**

Послать еще один кук не вариант, его можно подделать. Если конечно не сохранять допустим в БД.

Добавлено через 11 минут
Вообще, тут больше задача защитить именно от дос атаки. Замучать сервер, если говорить проще. Поэтому нужно вычислить время запрос ответ и ничего более! Взломать личку перебором паролей теоретически можно но в действительности очень долго, нет смысла. Проще нагрузить сервак до кряков и может повезет чего то да вытащишь.

Добавлено через 1 минуту
А если не вытащишь так сломаешь.

@cilin · 04.02.2025, 09:08 **[ТС]**

В сущности все можно сделать и проще. maxAge: 1000 - это одна секунда, если печенюшка существует значит что то не так, считаем печенюшки и после 3 печенюшки по алгоритму отправляем код 400!

JavaScript
1
2
3
4
res.cookie('token', '33333ABCDE', {
    maxAge: 1000,
    secure: true,
});

@margarita2001 · 04.02.2025, 09:28

Сообщение от cilin

1000 - это одна секунда, если печенюшка существует значит что то не так

Можно в браузере запретить конкретному сайту сохранять куки и печенюшки уже не будут существовать) Если же отправлять запросы программно, то тем более куки сохранятся не будут. А нужные куки отправлять в заголовках.

@cilin · 04.02.2025, 13:11 **[ТС]**

Можно в браузере запретить конкретному сайту сохранять куки и печенюшки уже не будут существовать) Если же отправлять запросы программно, то тем более куки сохранятся не будут. А нужные куки отправлять в заголовках.

Да, можно, но печенюшки будут две, одна на секунду, одна рабочая для регистрации.
А куки отправлять в заголовках, это как? Если

HTML5
1
https://www.cyberforum.ru?Login=margarita2001

- это get запрос.

@voraa · 04.02.2025, 13:19

Сообщение от cilin

Послать еще один кук не вариант, его можно подделать.

Сообщение от cilin

В сущности все можно сделать и проще. maxAge: 1000 - это одна секунда, если печенюшка существует значит что то не так,

А это подделать нельзя?

@margarita2001 · 04.02.2025, 13:47

Сообщение от cilin

Да, можно, но печенюшки будут две, одна на секунду, одна рабочая для регистрации.

Я отправлю программно ту, которая для регистрации. А которая на секунду отправлять не буду и защита ваша не сработает.

Сообщение от cilin

А куки отправлять в заголовках, это как?

Отправить на php или JS, или на любом другом языке программирования. На скрине заголовки ответов. Тоже самое в заголовках запросов. Там куки на сервер отправляет браузер. Но можно это сделать с помощью бота.

Новые блоги и статьи Все статьи Все блоги /
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .
Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .

@cilin -34 / 2 / 1 Регистрация: 02.02.2011 Сообщений: 82

	Можно ли узнать точное время сохранения сессии 03.02.2025, 13:50. Показов 1365. Ответов 10 Метки нет (Все метки) Собственно сам вопрос в заголовке темы. Можно ли узнать точное время сохранения сессии в секундах не сохраняя данную информацию в теле сессии. Это нужно для защиты сервера от дос атак. Возможно кто знает более элегантный способ отследить время ответа пользователя на сообщение формы. Заранее спасибо за ответ! 0

@voraa 1217 / 1097 / 173 Регистрация: 21.01.2024 Сообщений: 5,006
	03.02.2025, 14:30
	Посылай еще один кук со временем. При ответе он вернется, будешь знать, когда послал его. 0

@cilin -34 / 2 / 1 Регистрация: 02.02.2011 Сообщений: 82
	03.02.2025, 14:52 [ТС]
	Послать еще один кук не вариант, его можно подделать. Если конечно не сохранять допустим в БД. Добавлено через 11 минут Вообще, тут больше задача защитить именно от дос атаки. Замучать сервер, если говорить проще. Поэтому нужно вычислить время запрос ответ и ничего более! Взломать личку перебором паролей теоретически можно но в действительности очень долго, нет смысла. Проще нагрузить сервак до кряков и может повезет чего то да вытащишь. Добавлено через 1 минуту А если не вытащишь так сломаешь. 0