Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
 
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Защита авторизации от брута
Raymond  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
*

Профиль
Группа: Пользователь
Сообщений: 38
Пользователь №: 43562
На форуме: 8 месяцев, 21 день
Карма:




почитал немного инфы по этой теме, и нашел пару вариантов.
Если пользователь допустил ошибку и ввел что-то не так при авторизации, то:

1) Можно дать ему возможность следующей попытки через N времени.
Минус в том, что если какой-нибудь ушлепок попытается зайти с моего аккаунта несколько раз и налажает, то мне придется ждать эти самые N времени.

2) Фильтровать по ip. Например, если кто-то с определенным IP неудачно авторизировался, то записываем IP в черный список, и постоянно показываем капчу в форме авторизации, под каким бы логином человек ни пытался зайти.. Когда и если он таки зайдет удачно, убираем IP с черного списка.

Я больше склоняюсь к варианту 2. Но подскажите, пожалуйста, поможет ли он, если у человека динамический IP?
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Invis1ble  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме




******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 11966
Пользователь №: 23195
На форуме: 7 лет, 3 дня
Карма: 435

Трезвый :
7 лет, 11 месяцев, 2 дня


Цитата (Raymond @ 30.05.2017 - 20:06)
Но подскажите, пожалуйста, поможет ли он, если у человека динамический IP?

Сам-то как думаешь?

Вообще, авторизацию нет особого смысла брутить, ибо неэффективно. А если кто-то уж целенаправленно возьмется (нет) за конкретного юзера, то капча твоя не поможет.


--------------------
PMПисьмо на e-mail пользователюСайт пользователя
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Raymond  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
*

Профиль
Группа: Пользователь
Сообщений: 38
Пользователь №: 43562
На форуме: 8 месяцев, 21 день
Карма:




Цитата (Invis1ble @ 30.05.2017 - 21:55)
Сам-то как думаешь?


но вроде же , чтобы у человека сменился динамический IP, нужно отключиться от инета и снова зайти. Все таки время на это уходит.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
AllesKlar  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3706
Пользователь №: 38635
На форуме: 3 года, 7 месяцев
Карма: 198




Цитата (Raymond @ 30.05.2017 - 20:12)
но вроде же , чтобы у человека сменился динамический IP, нужно отключиться от инета и снова зайти. Все таки время на это уходит.

Про подсеть не слышал?
Это когда целый микрорайон сидит на одном внешнем IP

Задержка в 1 минуту по имени пользователя достаточная защита от брута. Пароль из 8 символов не будет подобран никогда.
Никто не брутит конкретное имя пользователя. берут пары логин:пароль и вперед (и прочие секреты юного хакера)
И вообще, брут - это тот еще онаниизм очень неэффективно, и им уж давно никто не пользуется.
Цитата
Минус в том, что если какой-нибудь ушлепок попытается зайти с моего аккаунта несколько раз и налажает, то мне придется ждать эти самые N времени.

Это случиться 4 раза за всю историю существования твоего сайта


--------------------
[продано копирайтерам]
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
S.Chushkin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пофигист
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 823
Пользователь №: 36058
На форуме: 4 года, 7 месяцев
Карма: 42




Цитата (AllesKlar @ 31.05.2017 - 02:09)
... им уж давно никто не пользуется.

Пользуются, к сожалению. По несколько десятков запросов на дню, хотя сайт нафиг никому не нужен.


--------------------
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Invis1ble  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме




******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 11966
Пользователь №: 23195
На форуме: 7 лет, 3 дня
Карма: 435

Трезвый :
7 лет, 11 месяцев, 2 дня


Цитата (S.Chushkin @ 31.05.2017 - 11:39)
По несколько десятков запросов на дню, хотя сайт нафиг никому не нужен.

Пытаются кого-то конкретного сбрутить или работа "по площадям"?


--------------------
PMПисьмо на e-mail пользователюСайт пользователя
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
S.Chushkin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пофигист
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 823
Пользователь №: 36058
На форуме: 4 года, 7 месяцев
Карма: 42




Цитата (Raymond @ 30.05.2017 - 20:06)
1) Можно дать ему возможность следующей попытки через N времени.

Не поможет.

Цитата
2) Фильтровать по ip. Например, если кто-то с определенным IP неудачно авторизировался, то записываем IP в черный список, и постоянно показываем капчу в форме авторизации, под каким бы логином человек ни пытался зайти.. Когда и если он таки зайдет удачно, убираем IP с черного списка.

Я больше склоняюсь к варианту 2. Но подскажите, пожалуйста, поможет ли он, если у человека динамический IP?

Не поможет.
И человек тут не причём - там роботы. И ИП у них как правило очень много, почти не повторяется. С одного ИП один-два запроса в сутки максимум, обычно и того реже. Причём ИП с разных регионов, большинство динамические.
А если много в единицу времени, то это уже DoS, - другая песня.
п.с. У себя я пока не понял, то ли вирус, то ли бот-сеть шалит. Лень возиться, ибо пока не напрягает.


--------------------
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
S.Chushkin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пофигист
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 823
Пользователь №: 36058
На форуме: 4 года, 7 месяцев
Карма: 42




Цитата (Invis1ble @ 31.05.2017 - 11:44)
Пытаются кого-то конкретного сбрутить или работа "по площадям"?

Не, просто тыркаются - логин,пароль.
Вероятно по списку или просто генерируют случайным образом - я не разбирался.


--------------------
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
AllesKlar  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3706
Пользователь №: 38635
На форуме: 3 года, 7 месяцев
Карма: 198




Цитата (S.Chushkin @ 31.05.2017 - 09:53)
Цитата (Raymond @ 30.05.2017 - 20:06)
1) Можно дать ему возможность следующей попытки через N времени.

Не поможет.

Конечно поможет.
если, скажем, после 5-ти неудачных попыток, заблокировать по логину на 1 минуту, то при длине пароля 8 символов всего лишь [a-z] это будет (26^8 ) / 5 (попыток) / 60 / 24 / 365 = 15.892 года

думаю, что через 15.892 года пользователь сменит таки пароль и брутить придется с самого начала.


--------------------
[продано копирайтерам]
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
  Быстрый ответ
Информация о Госте
Введите Ваше имя
Кнопки кодов
Для вставки цитаты, выделите нужный текст и
НАЖМИТЕ СЮДА
Введите сообщение
Смайлики
:huh:  :o  ;) 
:P  :D  :lol: 
B)  :rolleyes:  <_< 
:)  :angry:  :( 
:unsure:  :blink:  :ph34r: 
     
Показать всё

Опции сообщения  Включить смайлики?
 Включить подпись?
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темы Ответ в темуСоздание новой темыСоздание опроса