Полная Версия: Варианты авторизации
| Цитата (killer8080 @ 17.02.2016 - 10:08) |
| куки уводят двумя способами |
Какая разница каким способом увели?
Злоумышленник получил код из 32 символов. Но этот код будет валидным только для обращений с определенного айпи.
_____________
Бесплатному сыру в дырки не заглядывают...
| Цитата (FatCat @ 17.02.2016 - 11:19) |
| Какая разница каким способом увели? |
большая, если куки увели за натом (что наиболее вероятно), то у атакующего с жертвой один и тот же IP
| Цитата (killer8080 @ 17.02.2016 - 10:21) |
| куки увели за натом (что наиболее вероятно) |
... то намного более вероятно, что не куки увели, а воспользовались компьютером жертвы пока он был в туалете, или пароль через плечо подсмотрели.
_____________
Бесплатному сыру в дырки не заглядывают...
Общественный wi-fi, подключился на остановке, увели всё что можно )
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
| Цитата (killer8080 @ 17.02.2016 - 11:08) |
| а что такое тупой перебор? Как ты его себе представляешь? |
FatCat предложил time() на сессию вешать или мой вариант:
Для начала нужно отсечь перебор аккаунтов с помощью одного пароля, для этого вешаем на конкретный IP количество неудачных попыток входа. В связи с тем, что IP можно изменить, аналогичное нужно сделать и на перебор паролей под конкретный аккаунт, делаем количество неудачных попыток входа под конкретный аккаунт.
_____________
Принимаю заказы, писать в ЛС
| Цитата (FatCat @ 17.02.2016 - 11:05) |
if ( preg_match( '/(YandexBlogs|googlebot|google-proxy|slurp@inktomi|ask jeeves|lycos|whatuseek|ia_archiver|aport|yandexbot|stackrambler|yahoo|msnbot|webalta|Mail.Ru|bingbot| mj12bot|exabot|baiduspider|hosttracker|AhrefsBot|SputnikBot|BLEXBot)/i', $s_user_agent, $match ) ) |
Вы по user_agent поисковых роботов находите?
_____________
Принимаю заказы, писать в ЛС
$s_user_agent = $_SERVER['HTTP_USER_AGENT']." ".@gethostbyaddr($ibforums->input['IP_ADDRESS']);
Спустя 1 минута, 6 секунд FatCat написал(а):
На самом деле, намного сложней, но сам принцип этот.
_____________
Бесплатному сыру в дырки не заглядывают...
Вот ещё, при аутентификации, вы каждый раз достаёте хеш из БД?
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
| Цитата (Медведь @ 19.02.2016 - 11:40) |
| при аутентификации, вы каждый раз достаёте хеш из БД? |
Да. При обработке каждого запроса страницы.
_____________
Бесплатному сыру в дырки не заглядывают...
Спасибо
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
Здесь расположена полная версия этой страницы.