(!) Fantom, форум для настоящих параноиков - не работает

А никак, пост запросы шлют только зарегистрированные пользователи. Сделай скрипт логина который не ложится от любой вменяемой нагрузки и сделай ограничение на число пост запросов в секунду на пользователя.

По поводу фейков еще подумалось: что мешает фейкнуть этот самый статический адрес, а дальше когда пользователь получает временный адрес форума - фейкопрокси его тоже получает. Не слишком значительное усложнение атаки.

Тут зависит от капчи. Я ее потом усложню.

Капчу решает пользователь. Адрес форума выдается в тексте. Не вижу никакой зависимости от сложности капчи.
А если выдавать адрес форума картинкой, даже единицы абсолютных параноиков плюнут и уйдут куда попроще.

Редактировался Северус (2016-09-27 12 ч.)

А понял. Подумаю над этим.

можна адрес форума pgp шифровать, юзер расшифровывает и потом копипастит адрес. правда это нафиг не нужно, потому что здесь будет работать эффект неуловимого джо
капчу нужна сделать в виде дифференциального уравнения, чтобы гарантировать некий минимальный интеллектуальный уровень юзера форума

Прокси точно так-же зашифрует. А любые передаваемые PGP ключи можно подменять. И да, единственная надежда у такой защиты - что никому нафиг не нужно ее ломать.

Заюзать матлаб или вольфрам альфа может даже идиот. На матан капчу даже авторег делали.

адрес можно выдавать с подписью pgp

Точно так-же можно подписать один постоянный адрес. И фейк-прокси может убирать подпись или переподписывать своим фейк-ключом, так что если не знать настоящего все будет выглядеть достоверно.

Северус, мне кажется, что текущая система вполне защищает от наличия фейков-прокси. Какой смысл их вообще клепать, если даже удастся украсть в подобном режиме чей-то пароль, он, вероятнее всего, станет неактуальным раньше, чем создатель фейка сможет его реализовать.

а как фейкфорум узнает текущий адрес настоящего форума, который меняется каждые 30 минут?
адрес будет зашифрован, а расшифровать только юзер может

Текущая система бессмыслена и беспощадна. Серьезное ухудшение юзабилити по-сути просто так.

Фейк прокси может подменять ключи при регистрации и в дальшейнем всегда представляться пользователем.

Адрес будет зашифрован ключом фейкпрокси. Прокси его расшифровывает, потом шифрует ключом юзера и выдает ему. Юзер думает что все в порядке.

Как от ddos, так и от фейков, и от гугла собственно. От любых автоматических атак дает преимущество. Понятно, что все можно усложнить, но тут есть куда развернуться и мне.

На самом деле имя юзера берется из ключа. После регистрации не происходит входа. Следовательно фейк прокси должен не только подменять все в процессе, но и генерировать ключ в момент регистрации с тем же ником(время). Кроме того вести базу соответствия ключей и юзеров. Как своих ключей, так и чужих. При этом профит лишь представление другим новорегом. А построить нужно весьма серьезную систему.  Маловероятно. Система работает.

Быстро генерировать ключи не проблема, как и вести базу. А аргумент что маловероятно - это отсылка к неуловимому Джо. Да, решение нестандартное, по началу никто им заниматься не будет. Но если надо - сделают.

Я считаю что защиту можно сделать в формате обычного форума с постоянным адресом, не усложняя жизнь пользователям на постоянной основе.

Редактировался Северус (2016-09-27 15 ч.)

Например как на рунионе,рутор или рамп? Где там защита от фейк-прокси например. Кстати на рампе с основного домена идут редиректы на рандомный домен. Это как ухудшенный вариант моей логики с разделением серверов.

Для юзеров моих плюс в том, как раз что не для новорегов, а для следующих рангов будет все безопаснее сайт. Скажем будет ддос системы выдачи. У нас свои домены, которые не публикуются нигде. Заходят, как обычно. Ведь это разные сервера. В общем это для параноиков. Кому надо будет пользоваться.

Редактировался SleepWalker (2016-09-27 15 ч.)

SleepWalker, оно работает, пока никому не нужно. Ты же говоришь, что у тебя все супер-пупер защищено, а это нихуя не так. Усложнено, максимум. От прокси-фейков кроме закладок ничего не спасет. От ддоса кроме ширины канала и минимальной оптимизации сервера тоже ничего не спасет. От гугла спасаться не надо. Все остальное это танцы с бубном.

Это скорее для лоадбаллансинга, один инстанс Tor плохо держит много коннектов. Возможно эту проблему решает onionbalance, надо пробовать.
Плюс их варианта - для пользователя оно почти прозрачно и не требует дополнительных действий.

Имея достаточное количество нод с HSDir флагом, можно мониторить все домены чуть ли не в реалтайме, за исключением авторизованных. Собственно этим уже занимается несколько .torify.net каталогов. Я находил в них свои HSы для внутреннего пользования, которые вообще никогда никому не передавались. Теперь перешел на авторизованные HS и забыл об этой проблеме.

Редактировался Северус (2016-09-27 15 ч.)

Вряд ли дело в торе.

Ну у меня на высоких нагрузках именно в него все упиралось.

В общем резюмирую. Система работает. Я никуда не делся, буду вводить новые фишки и возможности. Поэтому просто расслабьтесь и наблюдайте. Хоть отсюда=)

У меня один вопрос Слип, а зачем настоящему параноику заходить на какой-то форум вообще? 
Может переименовать в "форум настоящего параноика".