Нагадаю, що метою атак Drive-by-Download є поширення шкідливого коду, а реалізуються вони через залучення жертв на шкідливий сайт з подальшою експлуатацією вразливостей в ПО (браузер, flashplayer, pdfviewer, компоненти ActiveX і т.п.).
- відокремлюють вразливих користувачів від невразливих (сторінку з експлойтів не хочеться показувати аби кому);
- відокремлюють відвідувачів-чоловіків від роботів (роботи, а тим більше боти всяких AV-виробників мало того, що не схильні до експлойтів, так вони ще можуть затаврувати домен як шкідливий, що призведе до зниження часу його ефективної роботи);
- відокремлюють нових відвідувачів від повертаються (шкідливому сайту не потрібно підвищена увага).
Сьогодні я хочу поділитися з вами однією ідеєю, за допомогою якої можна відокремити роботів від чоловіків. Отже, завдання (спрощено):
1. Є сторінка X, на яку приходять (перенаправляються) відвідувачі, щодо яких буде проводитися атака Drive-by-Download.
2. Є сторінка Y, на якій розміщений безпосередньо експлойт.
Потрібно: реалізувати перехід зі сторінки X на сторінку Y таким чином, щоб до сторінки Y не дійшли роботи, але дійшли всі або майже всі люди.
Ускладнимо собі задачу, зробивши такі припущення:
2. Всі роботи побудовані на основі WebKit, а користувачі працюють з-під браузера Google Chrome. Таким чином, методи fingerprinting'а також не застосовні.
Спочатку перерахуємо well-known варіанти вирішення:
1. CAPTCHA. Не годиться, бо ми хочемо звести до мінімуму взаємодію з користувачем. Крім того, CAPTCHA на простий сторінці викликає підозри.
2. Можна реєструвати події від миші і клавіатури: мовляв, якщо є - то людина, інакше - електронний бовдур. Але такі події емулюються на раз.
Якщо думка моя не нова, прошу кинути посиланням на першоджерело. Google мені нічого не сказав ...