А у меня динамический айпи. Мне такая блокировка по барабану.

Но не у всех же ip динамический... Да и после 3-х неправильных попыток ввода, Вам браузер придется перезапустить. Это тоже мне кажется тормозит здорово злоумышленника. Вообще я просто не успел еще доделать: хочу после 3-х капчу подсовывать, а уже после 6-ти - бан.

Хотя конечно интересно как с динамическими ip еще бороться?

Сейчас контингента с динамическими айпи становится все больше

Кстати, Ice, динамический ip меняется при подключении к интернету? И вроде последняя цифра...

Как то подозрительно, только что в смсках писали о данной теме, и вот создают ее , это не спроста не спроста

igor717 в зависимости от диапазона ip адресов провайдера

какие цифры меняются зависит от класса сети: А, В или С. В моем айпи меняются последние два триплета (95.31.ххх.ххх), а следовательно моя сеть класса В.

Так, а бан по ip выходит что бессмысленный? Я уже теперь даже не уверен, он хоть на вредить не сможет, с этими динамическими ip?

Если правильно разработать условие бана и включить в него дополнительные параметры, кроме айпишника, то можно забанить скажем не по всему айпи, а по его части, например первым двум триплетам.
Но в этом случае нужно ответственно подойти к задаче, иначе из-за ошибки могут быть забанены совершенно невинные люди, находящиеся в той же сети с нарушителем.

Не мне кажется по части ip дело совсем рискованное - могут и побить .
Вообще, если забанить, то даже с динамическим ip человеку придется 1. Переподключиться к нету 2. Перезапустить браузер. Что уже как бы напряжно и время... К этому прибавить закодированный логин/пароль и капчу после трех неудачных попыток....

А Вы случайно не в курсе эти динамические ip у разных пользователе могут пересекаться (быть одинаковыми)?

браузер не обязательно. Просто перезайти на страницу.

Конечно могут. Это уже тема маршрутизации.

Если к примеру есть один маршрутизатор и к нему подключена внутреняя LAN, то все пользователи LAN будут выходить в интернет с одного IP-адреса, но иметь при этом разные порты для установления соединения. Не будем забывать, что при соединении узлов между собой ВСЕГДА фигурирует порт. Что касается большинства интернета, то порты часто не указываются, потому что все сервера открыты через 80 умолчальный порт, но с таким же успехом можно было бы написать, например, http://site.ru:80

ну да не обязательно...

Вот кто-то писал...

Было и такое

Во блин . Ладно, спасибо, есть над чем подумать...

Поставь хороший пароль и забей на бан по IP.

PS: правда вспоминая какую то пословицу: когда строишь ворота, которые невозможно разрушить, то всегда забываешь про то, что легко разрушить стены. Ну и наоборот.

Reflex, да дело в ненадежности ворот, в смысле пароля, просто любой пароль можно подобрать, а если прерывать работу злоумышленника каким-небудь образом - то подобрать будет во много раз сложнее. Безопасность лишней не бывает. Как говориться, береженого Бог бережет.

Да и у моего друга раз заказчик был, так он сказал: после разработки сайта вообще админку нафиг снести - не буду я там ничего править, вдруг кто залезет. Так вот я и подумал, сделать по надежнее...

Да, Вы наверное правы от бана стоит отказаться, достаточно той же капчи...

Достаточно даже просто делать паузу в несколько сот миллисекунд между каждой попыткой авторизации. Пользователь не заметит такой разницы, а вот автомат брутфорсера сразу накроется.

Хм, как вариант кстати, спасибо, стоит попробовать

Даже, не знаю, разве задержка поможет от автомата? Мне кажется просто страница сгенерируется на n миллисекунд позже...

Бан по IP сейчас действительно фактически бесполезен. Если кто задастся целью, он найдёт программу переборщик и купит за 15$ большой список прокси-серверов. Тут хоть заблокируйтесь
Если я всё правильно понял, то вы хотите оградить админку от перебора паролей. Для этого есть простой железный способ - при неправильной авторизации вызывать sleep(5). И пусть хоть заперебираются Веков через цать может подберут

Kuzya, да Вы правильно поняли, я просто в предыдущем посте как раз и спрашивал, поможет ли sleep(). А да кстати, задержку нужно вызывать перед началом скрипта (в случаи ошибки) или в том месте месте (else), где указали не верный пароль?

Kuzya задержка? У меня вот тоже возник вопрос, а если у меня информация сначала обрабатывается в модуле, а потом отправляется в шаблонизатор, то каждый вызов sleep(5) будет для пользователя очень не хорошей вешью то есть место страницы с сообщением он будет получать пустую страницу на 5 секунд

Извините, а скажите, если не сложно, как это помогает, ведь sleep() просто тормознет выполнение скрипта и страница сгенерируется просто позже. Что это даст?

Да одновременно написали, я о том же...

Смотрите. sleep() нужно вызывать только тогда, когда вы точно знаете что введёный пароль не является верным. Современные программы для подбора пароля могут перебирать огромное количество оных в секунду на 1 поток (если речь идёт о многопоточном переборе). В идеале, они перебирают гигантские словари в десятки тысяч записей за час.
А этим sleep`ом вы урезаете всю их эффективность до 1 пароля в 5 секунд на поток. Такая задержка делает подбор пароля очень не выгодным. Никто не захочет ждать несколько месяцев или пару лет чтоб узнать ваш пароль.
А на легальных пользователей это не окажет почти никакого влияния. Во-первых, при верно введёном пароле никакой задержки не будет, а во-вторых, даже если пользователь пару раз введёт свой пароль ошибочно, лишние 10 секунд ожидания ему жизнь не испортят.

Kuzya, спасибо

Для админки нормально. Еще можно поставить фильтр по диапазону ИП. Скажем только ваш город.

У меня работает примерно так
-ИП с предупреждением 5 - блокируем
-Проверка на диапазоны ип если нет Black=5 и блокируем
-Проверка логин пароль - если нет Black++ sleep(10);
-Очистка ип из базы при успешной авторизации

Работает уже 5 лет на разных проектах и нормально

если блокировать - только на сутки.


если проект личный, не помешает фейковая админка - ее пусть и брутят.

Фейковая админка это да, полезная вещь Можно отслеживать всю пользовательскую активность, связанную с ней - будет интересно.
Вообще админ-часть желательно располагать на отдельном поддомене и жёстко контролировать к ней доступ (ограничения по IP)

Белый Тигр

вахахахах))) А еще лучше нормально разрабатывать веб-приложения.

Расположение админки отдельно - обязательная рекомендация связанная с безопасностью во многих серьёзных стандартах. Например OWASP ASVS. И на "нормальность" веб-приложения это никак не влияет.

Вы ещё поди не знаете что такое OWASP вообще?
Если да то очень рекомендую ознакомится т.к. каждый веб-разработчик должен знать эту организацию и её основные (хотя бы) труды.
http://www.owasp.org/
http://www.owasp.org/index.php/Category:OW...tandard_Project
http://www.lulu.com/product/file-download/...tandard/5168391 (скомпонованый pdf с ASVS)

Белый Тигр а полномочия по составлению стандартов у них есть? Если нет то плевал я жирным харчком в ихнюю сторону.

Вы просто непробиваем

Белый Тигр а то, я бы верил вот этим людям http://www.zend.com/store/education/certif...VUE_Search_Form что они скажут, потому что тест на знания всего там зверский.... жжуть ...

У меня динамичесикй ИП. И меняються последние 2 разряда. Я знаю один топ, в ктором раз в сутки голосуешь с одного ИП. Я там как то за 1 день раз 200 проголосовал, и не разу не совпал пароль.

Какой пароль?

igor717 почему бы не банить сам логин/пароль на сутки так ведь наверняка ?

Кто-нибудь из злых побуждений может вызвать массовый бан

А если у меня есть комп, за которым сижу только я, поставить проверку IP? Т.е. надо вводить и пароль и логин, н если IP не совпадает с моим, то...
то чтонибудь надо придумать
Можно так сделать, или это не разумно?
P.S. Вполне логично, что заходить в админку я смогу только со своего компа - это не минус

Это называется привязкой аккаунта к IP.
Хорошее решение.

Т.е. это уже до меня изобрели????
Жаль