Какой страницы, где? Есть 2 сайта "О" - оригинальный и "Ф" - фишинговый. Если я, допустим, представляю "Ф" фишинговый сайт, я один раз зайду, скопирую весь оригинальный сайт "О", посажу его на домен схожий с оригинальным. Затем буду посылать потенциальных жертв на сайт "Ф", через рекламу, спам и т.п. Жертва будет вбивать свои данные в форму на сайте "Ф", эти данные буду улетать в БД сайта "Ф". Какие Ajax запросы к сайту "О" ??? Вы вообще о чем тут все пишите? Наверное единственный антифишинг, который может быть, это попадание фишингова сайта в базу антивирусов и подобных ресурсов и только если софт, который содержит этот сайт будет у пользователя в момент посещения фишингова сайта, он сможет проинформировать об угрозе фишинга.
@AlexandrS да я понял что не автору ответил... оупс... ну не посмотреть урл это верх невежества, но пусть об этом думают разрабы арбузов но защита есть... динамическое лого, динамический диз, принуждать юзеров юзать ублоки всякие
Ты на это смотришь со свой колокольни Среднестатистическому юзеру вообще пофигу, он без проблем скачает .exe и запустит, он оставит чекбокс с галочкой, где ему предложат установить мэйловский шлак, амиги, доп бразеры, тулбары и т.п. Ты видел компы обычных пользователей? Трей просто забит, автогрузка забита, открываешь браузер, а там стартовая страница не пойми что и т.д. и т.п. и вы вот таким пользователям говорите Да устрой конкурс на последний айфон, где условием будет сфотографировать две стороны рабочей пластиковой карты, найдутся те, кто это всё сделает. Люди при установки ломаного софта, в описании которого просят отключить антивирь во время установки выполняют просьбу. О какой защите от фишинга вы вообще пишите, для кого это???
Дело в том, что от простого дубликата сайта защита и делается. Она протестирована, она работает (сюда потом выложу ссылку на код, когда приведу его в порядок). Пользователь не попадется на развод. Но мошенник может попасться не простой, а очень хитро*опый и он может не просто сделать дубликат сайта, но еще и стырить ответ оригинального сайта через курл. Вот чтобы вот такой ситуации и не произошло, я и хотел понять как можно отличить аякс от не аякса. Способа отличить их не нашел. Вместо этого решил сделать так, что пользователь персонально получит оповещение в обход мошенника. А при входе на сайт в обход одноразовой ссылки, присылаемой в оповещении (в случае, если пользователь затупил и продолжил ввод данных на фишинговом сайте), пользователь блокируется до тех пор, пока не пройдет по одноразовой ссылке - она ведь нигде не хранится . --- Добавлено --- Ну наша-то задача сделать так, чтобы таких ситуаций было поменьше . Понятное дело, что мы не спасем человечество от адептов МММ, быстрого заработка в интернете и поклонников Кашпировского. Но стремиться к этому все равно надо --- Добавлено --- А что дадут динамические ссылки на скрипты? Разве мошенник их не сможет увидеть?
А зачем он нужен, ответ оригинального сайта? Важен внешний вид т.е. HTML+CSS и JS ответственный за дизайн. Я это могу взять с любого сайта, просто зайти на сайт и сохранить (Ctrl+S) затем править HTML, CSS, JS и ссылки, залить это к себе на сервер, причем это будет просто статика, а форму для авторизации привяжу к своему скрипту, человек ввел данные в форму, его данные улетели в мою базу, я со своего фишингова сайта. Другое дело когда у вас на сайте стоит привязка с СМС оповещением с вводом дополнительного кода, это уж другое дело, тогда зачем все эти ajax и т.п. Если на фишинговом сайте пользователь оставит свой логин и пароль, злоумышленник ими не сможет воспользоваться, т.к. при вводе этих данных к оригинальному владельцу придет СМС, о попытке входа и кодом. такое конечно можно организовать и с подтверждением через e-mail с оригинальным токином или чем-то подобным, который будет открывать сессию только для того, кто ввел свой логин и пароль и перешел по присланной ему ссылке на e-mail из базы привязанный к логи и паролю.
Тут немного другая схема защиты, ранее нигде не применявшаяся. Просто в ней не хватало гарантии защиты от запросов по курл. В двух словах сложно описать. Но я потом код выложу - будет понятнее