security - 是否可以使用硬件设备

最近我发现了一个可以通过动态更改html DOM元素来防止机器人攻击的硬件设备。详细内容提到here

在将页面发送到客户端之前，html input元素id和name以及form元素action将替换为一些随机字符串。客户端提交后，硬件设备将其值替换为原始值。因此，服务器代码将保持不变，机器人无法使用固定输入名称id。

这是一个完整的想法，但他们也声称这个产品可以解决浏览器攻击中的男人。

Shape Security声称添加到网站的代码不会导致任何明显的用户界面延迟（或它出现的方式）和它也适用于其他类型的攻击，例如帐户接管，以及浏览器中的人。他们注意到他们的方法有效因为它实时偏转了攻击，而僵尸网络的代码则是仅在安装时更改（更改其签名）。

理论上有可能有人可以阻止浏览器中的人攻击服务器吗？！

理论上有可能有人可以阻止浏览器中的人攻击服务器吗？！

不。显然，受感染的客户端可以做任何真实用户可以做的事情。

让您的页面更能抵抗自动化，这可能是更新和对策的军备竞赛。像这样的混淆充其量只会使你的网站自动化，使其对攻击者来说不值得 - 也就是说，你试图让自己不再是“低悬的果实”。

他们注意到他们的方法有效，因为它实时偏转了攻击，而僵尸网络的代码只有在安装时才会改变（改变其签名）。

这似乎毫无意义。机器人自然可以更新自己的代码。事实上，银行业木马通常会更新自己以解决帐户登录页面的变化问题。除非服务包含推送到过滤器框的实时更新以解决这些更新，否则您仍然无法获胜。

（这样的自动化军备竞赛作为一项服务将是一个有趣的主张。但是我会担心新的混淆功能会破坏您的应用程序。例如，想象一下链接网站上的noddy form-field-renaming示例会发生什么如果您有自己的客户端脚本依赖于这些名称。或者如果您的整个站点是客户端单页应用程序，这将没有任何效果。）