Спустя 8 минут, 16 секунд (3.07.2012 - 18:17) inpost написал(а):
Защита от Брута не нужна, перебор не подойдет и никто этим пользоваться не будет.
Массовые запросы - это уже ддос, поэтому на уровне сервера админы защищают от ддоса закрывая доступ для определённых IP, откуда слишком много запросов идут в Х времени.
Массовые запросы - это уже ддос, поэтому на уровне сервера админы защищают от ддоса закрывая доступ для определённых IP, откуда слишком много запросов идут в Х времени.
Спустя 5 часов, 55 минут, 13 секунд (4.07.2012 - 00:12) Белый Тигр написал(а):
| Цитата |
| Если пароли от аккаунтов на сайте, работающем на php, составлены грамотно |
Вот в этом вся суть
Простым переборам никто пользоваться не будет, это очень затратно по времени. Брутят всегда по словарям. Если пароли не словарные и не комбинированные словарные, то бояться нечего. Другое дело - сможете ли вы выдвигать такие требования абсолютно ко всем паролям пользователей? Спустя 21 минута, 51 секунда (4.07.2012 - 00:34) Игорь_Vasinsky написал(а):
| Цитата |
| Другое дело - сможете ли вы выдвигать такие требования абсолютно ко всем паролям пользователей? |
угнетать пользователей ... неее.
максиму что я порекомендовал - длина пароля. от и до. и конечно указал бы рекомендации + генератор пароля аля md5 или sha1 в 15 символов
Спустя 1 день, 4 часа, 28 минут, 10 секунд (5.07.2012 - 05:02) kamanch написал(а):
Все же считаю, что от брута защишаться необходимо.
n попыток входа за определенный интервал времени - в бан по ip на минут 10
более чем 1 попытка входа за 1 секунду - явный многопоточный брут - в бан по ip минут на 10
И все. Пара строк кода, и не надо ночами вздрагивать
n попыток входа за определенный интервал времени - в бан по ip на минут 10
более чем 1 попытка входа за 1 секунду - явный многопоточный брут - в бан по ip минут на 10
И все. Пара строк кода, и не надо ночами вздрагивать
Спустя 6 минут (5.07.2012 - 05:08) inpost написал(а):
h.n.81
Цитата: "более чем 1 попытка входа за 1 секунду - явный многопоточный брут".
Теперь среднестатичный пользователь всегда нажмёт кнопку "отправить" 2 раза или, бывает, и по 10 раз! Он тоже брут лишь потому, что его мышка по нажатию делает двойной проклик? Я бы назвал это отсутствием практики Собственно про всякие бруты явно где-то вычитал и испугался. Этим сейчас вообще никто не занимается.
Цитата: "более чем 1 попытка входа за 1 секунду - явный многопоточный брут".
Теперь среднестатичный пользователь всегда нажмёт кнопку "отправить" 2 раза или, бывает, и по 10 раз! Он тоже брут лишь потому, что его мышка по нажатию делает двойной проклик? Я бы назвал это отсутствием практики
Собственно про всякие бруты явно где-то вычитал и испугался. Этим сейчас вообще никто не занимается. Спустя 42 минуты, 54 секунды (5.07.2012 - 05:51) kamanch написал(а):
| Цитата |
| Собственно про всякие бруты явно где-то вычитал и испугался. Этим сейчас вообще никто не занимается. |
На одном из юмористических сайтов прочитал. название не буду указывать, дабы рекламы не было.
Я не буду приводить весь текст, но смысл был в том, что практикующий преподаватель юрфака поставил зачет бестолковому студенту со словами: Пока будут такие, как ты, я буду востребованным специалистом на рынке труда.
А для ТС еще раз повторю - от любых извесных методов хака защищаться необходимо. ради интереса можно просто погуглить на тему брута, и убедиться, что тема очень востребована и технологии развиваются.
Спустя 1 час, 27 минут, 10 секунд (5.07.2012 - 07:18) Белый Тигр написал(а):
| Цитата |
| Этим сейчас вообще никто не занимается. |
При выполнении заказов у меня брут пашет почти на протяжении всего времени работы - FTP, SSH, RDP веб-интерфейсы и т.д. Это вещь очень эффективная.
Спустя 6 часов, 58 минут, 29 секунд (5.07.2012 - 14:17) inpost написал(а):
h.n.81
А чем плохо называть phpforum ? И не бестолкового студента, а всю группу. И автор этого рассказа - inpost . Опять же не знаешь этой истории и перекручиваешь слова.
Белый Тигр
ftp,ssh - да, там этим балуются. Я выше говорил про обычные http формы, где этим никто не занимается.
А чем плохо называть phpforum ? И не бестолкового студента, а всю группу. И автор этого рассказа - inpost .
Опять же не знаешь этой истории и перекручиваешь слова.Белый Тигр
ftp,ssh - да, там этим балуются. Я выше говорил про обычные http формы, где этим никто не занимается.
Спустя 6 часов, 29 минут, 54 секунды (5.07.2012 - 20:47) Белый Тигр написал(а):
| Цитата |
| Я выше говорил про обычные http формы, где этим никто не занимается. |
Я их тоже включаю в список обработки, даже те которые содержат всякие защиты типа блокировки аккаунтов
Вообщем моё мнение здесь таково, что брут веб-форм угроза реальная.
Спустя 1 час, 17 минут, 12 секунд (5.07.2012 - 22:04) alex455 написал(а):
Белый Тигр, сколько времени понадобится брутить аккаунт с паролем iy1dtfE9ABO4 прежде чем этот пароль будет подобран?
Спустя 1 час, 49 минут, 54 секунды (5.07.2012 - 23:54) Белый Тигр написал(а):
Это не словарный вариант, я выше писал о том что если речь идёт о веб-формах, то тут либо чистые словарные переборы, либо комбинированные. Посимвольный слишком много времени займёт.
Спустя 12 часов, 49 минут, 43 секунды (6.07.2012 - 12:43) kamanch написал(а):
inpost
| Цитата |
| А чем плохо называть phpforum ? И не бестолкового студента, а всю группу. И автор этого рассказа - inpost . Опять же не знаешь этой истории и перекручиваешь слова. |
Нет, это было на anekdot.ru лет 10 назад. Допускаю, что это уже стало байкой в различных интерпретациях.
А по теме:
Мы дискутируем на тему паролей.
Паролей пользователей.
Что мы делаем? Сайты для пользователей или набираем пользователей, достойных для нашего сайта?
Лично я делаю для пользователя, и понимаю, что как бы я не тужился, каки бы я советы не давал, все равно будет пароль - 123456. И задача, чтобы взломать аккаунт с этим паролем было бы как можно сложнее - это моя задача.
Так что, я сделаю для этого все, что возможно.
А если выдвинуть пользователю, что пароль - marija использовать нельзя, и marija123 тоже нельзя, то высока вероятность, что эта Маша просто плюнет и пойдет на другом сайте регистрироваться.
Нельзя забывать, что есть еще персонал, который обслуживает клиентов сайта.
Админка интернет-магазина. И ты хоть кол чеши на спине этих девочек, которые обрабатывают заказы, но пароли от их учеток в админеке будут marusja123. А введешь ограничение, пароли появятся в файле password.txt на десктопе. И в условиях жесткой конкуренции, если это не г. Мухосранск, а организация с мощным оборотом в онлайн-торговле, то атаки на компы были и будут.
Сделали заказ, позвонили уточнить - ответила Маша. Маше заодно влили в уши какой у нее голос зашибись, она дура, раскисла и вечером из дома общается уже в однокласниках с клиентом. далее классическим методом соц. инженерии знают кличку ее собаки, мамы и дату ее рождения.
и утром орудуют под ее аккаунтом в аминке.
Итог - прощай база клиентов.
Виновна Маша? Ничего подобного - виновен программер.
У меня на сайте с базой клиентов около 200к вообще блуждающая админка. Каждый день в новом каталоге. И при логине оператора, проверяется соответсвие нашего IP и IP логина.
Параноя? Может быть, но пока что ни на один тестовый мейл из базы не пришла рассылка от конкурентов. И я сплю спокойно.
Спустя 1 час, 3 минуты, 59 секунд (6.07.2012 - 13:47) I++ написал(а):
| Цитата (Белый Тигр @ 6.07.2012 - 00:54) |
| Это не словарный вариант, я выше писал о том что если речь идёт о веб-формах, то тут либо чистые словарные переборы, либо комбинированные. Посимвольный слишком много времени займёт. |
И чего брут проходит по FTP и SSH с успехом?
Ясно теперь, чего хостер у меня буровит, с понтом пароли менять каждые полгода в обязательном порядке из-за хомячков.
Ну не ужели трудно сделать пароль 50 символов
Спустя 16 минут, 4 секунды (6.07.2012 - 14:04) Белый Тигр написал(а):
| Цитата |
| И чего брут проходит по FTP и SSH с успехом? |
Да, но лишь словарный. Для простого не хватит времени, какой бы хорошей связь не была.
Спустя 45 минут, 38 секунд (6.07.2012 - 14:49) killer8080 написал(а):
| Цитата (h.n.81 @ 6.07.2012 - 12:43) |
| Параноя? Может быть, но пока что ни на один тестовый мейл из базы не пришла рассылка от конкурентов. И я сплю спокойно. |
+1
В вопросах безопасности, всегда нужно быть параноиком
| Цитата (Белый Тигр @ 6.07.2012 - 14:04) |
| Да, но лишь словарный. Для простого не хватит времени, какой бы хорошей связь не была. |
Белый Тигр
а какой размер словаря используете? Если не секрет.
Спустя 2 часа, 56 минут, 22 секунды (6.07.2012 - 17:46) inpost написал(а):
h.n.81
Я это к тому, что если огромное количество обращений в Х времени - это уже ДДОС, так что таких блокировать необходимо будет в любом случае. Остаются брут-форсы, которые отправляют достаточно мало запросов в Х времени. А если мало запросов, то успеют лишь самое популярное перебрать.
Так что проблемы пользователей это всё, слишком простые пароли. Придумали - пусть мучаются и страдают. Большинство завсегдатаев с адекватным паролем пережили время печали и создали себе нормальные пароли
"И при логине оператора, проверяется соответсвие нашего IP и IP логина." - Ну так это правильно. Область проверки: ip, пароль, браузер. Приват-Банк для своих операторов авторизацию делает в связке пароль+ip+номер авторизации на мобилку. Близзард используют точно такую же вещь, только передают пароль не через смс-ки, а через внутреннюю программу на мобилках или специальных брелках.
В адекватных современных CMS уже встроена защита по IP, то есть с левых уже в админку не попадёшь.
Для обычных пользователей надо иметь систему отката по пользователям. И всё, украли - откатил назад и все довольны. Программист виноват до той поры, пока данные не будут восстановлены. После восстановления данных и замены пароля человек начинает понимать, что он был не прав.
Я это к тому, что если огромное количество обращений в Х времени - это уже ДДОС, так что таких блокировать необходимо будет в любом случае. Остаются брут-форсы, которые отправляют достаточно мало запросов в Х времени. А если мало запросов, то успеют лишь самое популярное перебрать.
Так что проблемы пользователей это всё, слишком простые пароли. Придумали - пусть мучаются и страдают. Большинство завсегдатаев с адекватным паролем пережили время печали и создали себе нормальные пароли
"И при логине оператора, проверяется соответсвие нашего IP и IP логина." - Ну так это правильно. Область проверки: ip, пароль, браузер. Приват-Банк для своих операторов авторизацию делает в связке пароль+ip+номер авторизации на мобилку. Близзард используют точно такую же вещь, только передают пароль не через смс-ки, а через внутреннюю программу на мобилках или специальных брелках.
В адекватных современных CMS уже встроена защита по IP, то есть с левых уже в админку не попадёшь.
Для обычных пользователей надо иметь систему отката по пользователям. И всё, украли - откатил назад и все довольны. Программист виноват до той поры, пока данные не будут восстановлены. После восстановления данных и замены пароля человек начинает понимать, что он был не прав.
Спустя 3 часа, 7 минут, 22 секунды (6.07.2012 - 20:53) Белый Тигр написал(а):
| Цитата |
| а какой размер словаря используете? Если не секрет. |
Зависит от ситуации - кол-ва доступного времени, кол-ва аккаунтов, скорости перебора. Иногда словарь берётся в несколько килобайт, иногда и в несколько мегабайт. А так есть и гигабайтные словари))
Спустя 4 часа, 14 минут, 32 секунды (7.07.2012 - 01:07) vital написал(а):
| Цитата (Белый Тигр @ 6.07.2012 - 19:53) | ||
Зависит от ситуации - кол-ва доступного времени, кол-ва аккаунтов, скорости перебора. Иногда словарь берётся в несколько килобайт, иногда и в несколько мегабайт. А так есть и гигабайтные словари)) |
А словари общедоступные из сети\гугла или какие-нить нажитые опытом\с закрытых форумов\etc ?
Спустя 21 час, 2 минуты, 56 секунд (7.07.2012 - 22:10) Белый Тигр написал(а):
И то и то, но более последнее