Здравствуйте!
Есть форма входа на сайт: логин с паролем.
Если юзер ввел неправильно логин или пароль три раза подряд то запускается таймер с обратным отсчетом 5 мин. в течении которых юзеру блокируется доступ к аккаунту.
Это все я реализовал на сессиях php.
Проблема в том что если юзер в течении этих 5 минут очистит куки то он снова получает возможность ввода логина и пароля не дожидаясь окончания 5 минут.
Вопрос, наверное, вы уже догадались в чем: как реализовать эти 5 мин. что бы, как минимум, при очистке куки не сбивался таймер.
Не стал бы просить помощи у "аудитории" но уже три дня бьюсь с этим и ни чего путного найти и придумать не могу. Для меня принципиальной разницы нету на чем это будет реализованно на php или js.
Пробовал через "HTML 5 DOM Storage", но при очистке куки данные слетают. Пробовал через "evercookie", но при очистке куки данные слетают. Не знаю, может я что то неправильно делаю, может в браузерах такая фича давно перестала прокатывать.
Может можно как то, какой то уникальный номер компа, серийник чего то, хеш какой нибудь или какого нибудь железа узнать при помощи скриптов php или js. Или "неубиваемые" куки поставить. Но не верю я что ничего здесь нельзя придумать.
Прошу помощи у вас многоуважаемые гуру php и js.
Полная Версия: Слетают данные при очистке cookie. Аналоги?
Не используй куки. Можешь рассмотреть привязку ip и логина. Не пускать к определенному пользователю с определённого айпи в течении 5 минут
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
| Цитата (inpost @ 25.12.2016 - 16:22) |
| Не используй куки. Можешь рассмотреть привязку ip и логина. Не пускать к определенному пользователю с определённого айпи в течении 5 минут |
Была такая задумка.
Для простого юзера такое прокатит, а если это злоумышленник?
Для начала он почистит куки- поймет что фишка в другом. Попробует сменить ip через анонимайзер и полетела такая защита к коту под хвост. Да и по просту динамический ip??
Такой вариант не катит. Поэтому и: может какой то уникальный номер компа, или еще чего то с помощью js или php.
писать время окончания блокировки на сервер (БД, файл)
| Цитата (Kusss @ 25.12.2016 - 17:14) |
| писать время окончания блокировки на сервер (БД, файл) |
Не понимаю. То есть в течении 5 минут любому компу блокировать доступ к аккаунту? А если это реальный владелец своего акка? И вдруг ни с того ни с сего когда он пытается попасть к себе в акк ему пишется акк заблокирован на 5 мин. потому что какой то хер пытался войти неправильно введя 3 раза пароль? Как то надо идентифицировать комп с которого было 3 неудачных попытки ввода пароля.
| Цитата (zlojnaxa @ 25.12.2016 - 17:22) |
| Как то надо идентифицировать комп с которого было 3 неудачных попытки ввода пароля. |
По айпи, как уже было сказано в первом же ответе.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
| Цитата (sergeiss @ 25.12.2016 - 18:03) | ||
По айпи, как уже было сказано в первом же ответе. |
Динамический IP? Как тогда??
Добавить HTTP_USER_AGENT и REMOTE_ADDR как доп параметры.
Если один из этих параметров совпал - в сад.
Причем блокировку поставить на ВСЕ аккаунты.
Если один из этих параметров совпал - в сад.
Причем блокировку поставить на ВСЕ аккаунты.
zlojnaxa
откажись от таймера, после неудачных попыток выводи капчу. Вручную пароли никто не подбирает, а от брутфорса этого достаточно.
откажись от таймера, после неудачных попыток выводи капчу. Вручную пароли никто не подбирает, а от брутфорса этого достаточно.
| Цитата (Kusss @ 25.12.2016 - 19:00) |
| Добавить HTTP_USER_AGENT и REMOTE_ADDR как доп параметры. Если один из этих параметров совпал - в сад. Причем блокировку поставить на ВСЕ аккаунты. |
Судя по всему придется делать BLOCK_ACCOUNT следующего вида:
178.65.209.246
Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36.
А на сколько это уникально??
| Цитата (killer8080 @ 25.12.2016 - 19:22) |
| zlojnaxa откажись от таймера, после неудачных попыток выводи капчу. Вручную пароли никто не подбирает, а от брутфорса этого достаточно. |
Наверное я чрезмерно "аккуратен" но капча стоит
| Цитата (zlojnaxa @ 25.12.2016 - 19:28) |
| Наверное я чрезмерно "аккуратен" но капча стоит |
тогда взлом брутфорсом практически невозможен.
| Цитата (zlojnaxa @ 25.12.2016 - 19:26) |
| Судя по всему придется делать BLOCK_ACCOUNT следующего вида: 178.65.209.246 Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36. А на сколько это уникально?? |
достаточно по IP, для атаки хакеру потребуется огромный ботнет, слишком накладно, а при наличии капчи практически нереально. Цена взлома слишком высока.
Привязываться к кукам, хранилищам и прочее смысла вообще нет, боты это не браузеры
Совет, изучи как работают спам-боты, изучи CURL и какие возможности есть у него. Узнаешь полный функционал и поймешь что такое боты.
Кроме этого ознакомься с вариациями паролей и количеством доступных IP для перебора. Так же поможет понять опасность.
Kusss
Никаких браузеров, эта информация только для статистики.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Кроме этого ознакомься с вариациями паролей и количеством доступных IP для перебора. Так же поможет понять опасность.
Kusss
Никаких браузеров, эта информация только для статистики.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
inpost
Причем тут браузеры ? Если мы говорим о заголовках.
Причем тут браузеры ? Если мы говорим о заголовках.
Kusss
выше ты предложил на самый нендежный заголовок смотреть
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
выше ты предложил на самый нендежный заголовок смотреть
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Здесь расположена полная версия этой страницы.