Допустим человек вводит логин, ошибается, вводит пароль.Что ему выдавать? Логин введен неверно? Если так, то злой хакер поймет, если сообщения перестанут выдаваться, значит логин введен верно и остается ему подобрать лишь пароль
Или же сделать, чтобы Такого логина или пароля не существует
Аналогично и с паролем.
Нужны ваши советы, друзья
Спустя 1 минута, 5 секунд (10.02.2012 - 09:55) Игорь_Vasinsky написал(а):
логин или пароль введён неверно.
для восстановления использовать мыло.
для восстановления использовать мыло.
Спустя 20 минут, 6 секунд (10.02.2012 - 10:15) nugle написал(а):
Игорь_Vasinsky
премного благодарен, просто вижу на сайтах, что они указывают: мол логин не существует, пароль не верен и т.д. Например, jino.ru(не реклама), ну а вроде хостинг с онлайн деньгами, а так делают. Почему, например, они тоже не делают одно сообщение на некоторые ошибки?
премного благодарен, просто вижу на сайтах, что они указывают: мол логин не существует, пароль не верен и т.д. Например, jino.ru(не реклама), ну а вроде хостинг с онлайн деньгами, а так делают. Почему, например, они тоже не делают одно сообщение на некоторые ошибки?
Спустя 33 минуты, 37 секунд (10.02.2012 - 10:49) killer8080 написал(а):
| Цитата (nugle @ 10.02.2012 - 09:15) |
| Почему, например, они тоже не делают одно сообщение на некоторые ошибки? |
Это у них надо спросить
А вообще, если в форме регистрации есть аяксовая валидация логина, то уже не важно, как ты ошибку выдаешь на входе. Нужно делать защиту от брутфорса.
Спустя 10 минут, 19 секунд (10.02.2012 - 10:59) nugle написал(а):
killer8080
у меня как раз и есть аяковская валидация. Есть какие-нибудь статьи по защите от брутфорса?
у меня как раз и есть аяковская валидация. Есть какие-нибудь статьи по защите от брутфорса?
Спустя 5 минут, 41 секунда (10.02.2012 - 11:05) killer8080 написал(а):
nugle
Ну можно например так делать. Фиксируешь каждую попытку входа. Если за последние 10 минут больше 3-х неудачных попыток, выводишь капчу.
Ну можно например так делать. Фиксируешь каждую попытку входа. Если за последние 10 минут больше 3-х неудачных попыток, выводишь капчу.
Спустя 1 минута, 21 секунда (10.02.2012 - 11:06) nugle написал(а):
killer8080
Благодарю) Работать лучше с сессией или же базой, куда собственно и записывать инфу о юзере?
Благодарю) Работать лучше с сессией или же базой, куда собственно и записывать инфу о юзере?
Спустя 2 минуты, 48 секунд (10.02.2012 - 11:09) killer8080 написал(а):
nugle
авторизацию можно как угодно сделать, но учет попыток логинов в любом случае в БД.
авторизацию можно как угодно сделать, но учет попыток логинов в любом случае в БД.
Спустя 2 минуты, 56 секунд (10.02.2012 - 11:12) nugle написал(а):
killer8080
ну я про попытки имел ввиду и еще такой вопрос. Что конкретно записывать его Ip или что? Могу поискать в гугл, ну раз ты уж сталкивался с данной проблемой, то спросил)
ну я про попытки имел ввиду и еще такой вопрос. Что конкретно записывать его Ip или что? Могу поискать в гугл, ну раз ты уж сталкивался с данной проблемой, то спросил)
Спустя 13 минут, 53 секунды (10.02.2012 - 11:26) walerus написал(а):
Да лучше и IP и броузер и все что можно достать про юзера, т.к. вариаций подстановки проксей, броузеров и другого мусора просто туча. Смысл в том, что бы как можно точнее запомнить юзера ).
Спустя 1 минута, 48 секунд (10.02.2012 - 11:28) nugle написал(а):
walerus
И тебе спасибо))) Сейчас буду пробовать)
И тебе спасибо))) Сейчас буду пробовать)
Спустя 9 минут, 4 секунды (10.02.2012 - 11:37) killer8080 написал(а):
| Цитата (nugle @ 10.02.2012 - 10:12) |
| Что конкретно записывать его Ip или что? |
IP только для общей информации, при разборе полетов админом. Принцип такой, пишеь в таблице логин, время, флаг(success/fail), ип адрес и на всякий случай еще можно http заголовки, потом для анализа атаки может пригодится. При авторизации делаешь выборку из этой таблицы, по логину и флагу fail, за интервал времени. Если количество не удачных попыток больше n числа, то выводится капча. Так же дополнительно, можно контролировать наличие и вид юзер агента, если его нет, то однозначно бот. Если количество фейлов слишком большое, отсылать уведомление админу/вебмастеру о попытке атаки.
Спустя 2 минуты, 37 секунд (10.02.2012 - 11:40) nugle написал(а):
Спасибо, сейчас буду все пробовать, на первый взгляд не очень все просто, так как первый раз защитой заниматься буду.
Спустя 42 минуты, 9 секунд (10.02.2012 - 12:22) inpost написал(а):
killer8080
Впервые могу возразить Тролль же может так заблокировать доступ какому-нибудь пользователю, если просечёт этот момент.
nugle
Логины всегда всем известны. Тут надо блокировать IP и Юзер-агент, по возможности, при спаме и попытке много раз войти подряд. А ещё лучше ставить лимит ожидания, допустим, в 5 секунд, защита от повторных запросов. Юзер не много потеряет, а вот боту будет уже невозможно с одного IP подобрать пароль.
С одного компа подборка одного пароля занимает около 200-300 лет Если много компов - это будет уже ДДОС, сайт итак упадёт, а толку будет мало. Сильно не переживай по поводу подборки паролей, потому что этим будут заниматься в 0.01% случаев, в основном уязвимости ищут именно sql-inj + xss-inj.
Подбор паролей, это огромное исключение, и в основном будет список из 5-10 тысяч стандартных слов, а именно: cthutq, ,jhbc, vfif, gtnhjdbx, pbyf, k.,f и т.д., которые будут перебираться, ещё такие: 123, 12345, 123456, qwerty, qwer, qwerty123, 123qwerty. Это простые пароли, их и идёт попытка подбора. А если кто-то создал плохой пароль - это его проблема, я так считаю.
Сложные пароли не подбираются практически никогда.
Впервые могу возразить
Тролль же может так заблокировать доступ какому-нибудь пользователю, если просечёт этот момент. nugle
Логины всегда всем известны. Тут надо блокировать IP и Юзер-агент, по возможности, при спаме и попытке много раз войти подряд. А ещё лучше ставить лимит ожидания, допустим, в 5 секунд, защита от повторных запросов. Юзер не много потеряет, а вот боту будет уже невозможно с одного IP подобрать пароль.
С одного компа подборка одного пароля занимает около 200-300 лет
Если много компов - это будет уже ДДОС, сайт итак упадёт, а толку будет мало. Сильно не переживай по поводу подборки паролей, потому что этим будут заниматься в 0.01% случаев, в основном уязвимости ищут именно sql-inj + xss-inj. Подбор паролей, это огромное исключение, и в основном будет список из 5-10 тысяч стандартных слов, а именно: cthutq, ,jhbc, vfif, gtnhjdbx, pbyf, k.,f и т.д., которые будут перебираться, ещё такие: 123, 12345, 123456, qwerty, qwer, qwerty123, 123qwerty. Это простые пароли, их и идёт попытка подбора. А если кто-то создал плохой пароль - это его проблема, я так считаю.
Сложные пароли не подбираются практически никогда.
Спустя 6 минут, 22 секунды (10.02.2012 - 12:28) killer8080 написал(а):
| Цитата (inpost @ 10.02.2012 - 11:22) |
| Тролль же может так заблокировать доступ какому-нибудь пользователю, если просечёт этот момент. |
Нет, я же не предлагал блокировать вход, просто выводится капча. Для юзера это не большая проблема, ввести надпись, с картинки, а для бота серьезная преграда, если конечно не задействованы китайцы.
Спустя 2 минуты, 4 секунды (10.02.2012 - 12:30) inpost написал(а):
killer8080
Неужели опять не придраться к тебе?!
Эх ты... такой хороший, такой умный...
Неужели опять не придраться к тебе?!
Эх ты... такой хороший, такой умный...
Спустя 41 минута, 4 секунды (10.02.2012 - 13:11) killer8080 написал(а):
| Цитата (inpost @ 10.02.2012 - 11:30) |
| Неужели опять не придраться к тебе?! |
Ну извини, может быть в другой раз
Спустя 35 минут, 16 секунд (10.02.2012 - 13:46) nugle написал(а):
| Цитата |
| Тут надо блокировать IP и Юзер-агент |
Как я понял это 'HTTP_USER_AGENT' и 'REMOTE_ADDR'
А что они не могут у нескольких людей совпадать?
Спустя 1 минута, 6 секунд (10.02.2012 - 13:48) inpost написал(а):
nugle
Ну так ты блокируешь же не на всю жизнь, а только на небольшой период.
Совпадение IP и браузера, это огромная редкость и исключение. Такого на нашем форуме практически нет.
Ну так ты блокируешь же не на всю жизнь, а только на небольшой период.
Совпадение IP и браузера, это огромная редкость и исключение. Такого на нашем форуме практически нет.
Спустя 7 минут, 34 секунды (10.02.2012 - 13:55) nugle написал(а):
inpost
Ну мало ли) спасибо) Там, вдруг все население России заглянет, то у большей части будут ошибки с таким сообщением, Для повторной попытки авторизации должно пройти 10 секунд.
Ну мало ли) спасибо) Там, вдруг все население России заглянет, то у большей части будут ошибки с таким сообщением, Для повторной попытки авторизации должно пройти 10 секунд.
Спустя 5 минут, 12 секунд (10.02.2012 - 14:00) killer8080 написал(а):
nugle
не надо блокировать, надо капчу вешать
не надо блокировать, надо капчу вешать
Спустя 28 минут, 51 секунда (10.02.2012 - 14:29) nugle написал(а):
Просто против капчи полно методов в инете, так что не хочется как то, чтобы поломали) а вот если блочить между попытками на 10 секунда, а после каждой 3ей попытке блочить на 10 мин. решение)
Спустя 36 минут, 2 секунды (10.02.2012 - 15:05) killer8080 написал(а):
| Цитата (nugle @ 10.02.2012 - 13:29) |
| Просто против капчи полно методов в инете, так что не хочется как то, чтобы поломали) |
Думаешь? Одно дело спам, другое брутфорс. Для спама достаточно угадывать 10 % капч, для брута распознаваемость должна быть 100%, вдруг правильный пароль совпадет с не угаданной капчей? Для хакера это не приемлемо. В автоматическом режиме распознаются эффективно только совсем простые капчи, искажения и шумы сводят все практически на нет. Китайский вариант то же накладный, во первых платный, во вторых тормознутый, для брутфорса практически не приемлем. Ни каких 100 процентных способов распознавания капчи, в автоматическом режиме не существует.
Спустя 10 минут, 54 секунды (10.02.2012 - 15:16) nugle написал(а):
killer8080
Спасибо) Сделал пока что с блоком, сейчас буду думать дальше в сторону капчи.
Какую капчу можешь посоветовать?
Спасибо) Сделал пока что с блоком, сейчас буду думать дальше в сторону капчи.
Какую капчу можешь посоветовать?