Bonjour,
je suis débutant sur nodejs et sur tout ce qui est développement webserver. J'ai fait un petit jeu en ligne mais j'ai rencontré des soucis :
certaines personnes utilisent des bots (qui pollue le gameplay), j'ai essayé de les stopper en mettant un captcha (j'utilise invisible recaptcha), mais ça en a stoppé seulement une partie.
détails :
côté serveur j'ai une liste 'captchaList' de toutes les adresses qui doivent remplir un captcha. Si une socket se connecte et est dans la liste alors le serveur envoie un message 'remplirCaptcha' et le client doit le remplir et envoyer 'rempli' lorsqu'il l'a rempli. Ensuite côté serveur je vérifie s'il a rempli correctement, si c'est le cas je supprime son adresse de la liste captchaList et j'envoie un message 'cestBonTuPeuxJouer'. (dans ce cas le joueur est censé être humain)
socket.on('rempli', function(data){
verifyRecaptcha(data.token, function(success){
if(success)
captchaList.delete(socket.request.connection.remoteAddress);
else{
console.log("captcha pb : "+socket.request.connection.remoteAddress);
}
socket.emit('cestBonTuPeuxJouer');
});
});
function verifyRecaptcha(key, callback) {
https.get("https://www.google.com/recaptcha/api/siteverify?secret=" + SECRET + "&response=" + key, function(res) {
var data = "";
res.on('data', function (chunk) {
data += chunk.toString();
});
res.on('end', function() {
try {
var parsedData = JSON.parse(data);
callback(parsedData.success);
} catch (e) {
callback(parsedData.success);
}
});
});
}
function onPlayerConnect(socket){
if(captchaList.has(socket.request.connection.remoteAddress)){
socket.emit('remplirCaptcha');
}
}
C'est la méthode qui me paraît la plus naturelle, cependant certains bots passent cette sécurité. J'ai deux hypothèses :
- 1) soit le bot sait résoudre le captcha
- 2) soit le bot change d'adresse lorsque qu'il est face à un captcha
Je sais pas si l'hypothèse 2) est probable/possible en tout cas je sais que les bots en questions se cachent sous un vpn... Je ne peux donc pas faire de ban ip ou autres...
Du coup ma question est :
- comment empêcher les gens qui utilisent un VPN de se connecter au serveur ? (ou au moins comment les détecter?)
Merci d'avance 