Sto sperimentando un sistema Proof of Work che tenta di forzare l'uso di un browser per risolvere il puzzle del cliente. Fondamentalmente, invece di distribuire il puzzle come un hash con un algoritmo ben noto, sto consegnando il puzzle come codice JavaScript reale che deve essere eseguito per ottenere la soluzione (e anche chiamate nell'ambiente del browser per provare davvero e assicurarmi è un browser). Sono stato in grado di scrivere qualcosa come PhantomJS per automatizzare un attacco, ma è accettabile. Gestisce ancora il puzzle molto lentamente. Tuttavia, una delle cose che speravo di dissuadere è la capacità di una vera botnet di attaccare e automatizzare la risoluzione del puzzle. Mentre penso che lo sforzo per questo sarebbe grande, e improbabile, ero solo curioso di sapere come sarebbe fattibile per un computer zombi installare e lanciare qualcosa di sostanziale come PhantomJS (un browser webkit senza testa) per essere in grado di automatizza un attacco.
Dalla mia conoscenza delle reti bot, si basano principalmente su serie di funzionalità molto più piccole e spesso predeterminate: keylogging, screenshotting, chiamate http, esecuzione di script più piccoli.
Modifica - Giusto per chiarire, so che un computer compromesso può installare ciò che vuole, è una questione di fattibilità. Ad esempio, quante botnet scaricano e utilizzano uno strumento da ~ 7 MB dopo il payload iniziale (come phantomjs)?