On 2016-10-19, J.F. <j...@p...onet.pl> wrote:

[...]

>>Na oko. :)
>>To jest trudniejsze niż wygląda na pierwszy rzut oka.
>
> Wersja a): od strony serwera polaczyc sie ze strona pko, wpisac
> klienta, sciagnac obrazek i przekazac do udawanej strony.
> Wada - moze zwrocic uwage na duza ilosc polaczen ze strony jednego
> serwera - trzeba by rozrzucic po wielu komputerach.

Zablokować połączenia bez sesji/ciacha od klienta, dorzucić kontrolnie
check nagłówków (user agent, przekierowania z CSRFem, zmieniać randomowo
kod HTML utrudniają automatyczne parsowanie kodu przez serwer).

> Wersja b): zaprogramowac to w javascript strony. Skrypt z przegladarki
> klienta polaczy sie do PKO, wpisze nr klienta, i pokaze otrzymany
> obrazek.

Zablokować połączenia AJAX (przeglądarki to wysyłają tak, że da się wykryć).
A to tylko takie prostsze rzeczy, które stosuje się zawsze. :)

I co zrobisz? :)

--
Wojciech Bańcer
w...@g...com