Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
Хы 26.01.06 13:24 Число просмотров: 3081
Автор: Yurii <Юрий> Статус: Elderman Отредактировано 26.01.06 13:26 Количество правок: 2
|
Подбор пароля при известном логине и подбор пары логин/пароль далеко не одно и то же. Обычно пытаются подобрать пароль к какому-то конкретному существующему привелегированному логину, а не просто влезть в систему хоть куда-нибудь.
А вообще-то ИМХО не с того конца задачу решаешь. Если ты админ системы, то раздавай пароли, которые не подбираются за приемлемое время, тогда и подобные вопросы отпадут.
|
<web building>
|
Защита от подбора пароля на сайте 26.01.06 12:09
Автор: sergey312 Статус: Незарегистрированный пользователь
|
Какие есть хитрые трюки для защиты от подбора?
Допустим есть два типа взлома:
1. Подбор пароля для конкретного логина.
2. Подбор логина под конкретный пароль.
Как более грамотно защититься, чтобы меньше страдали пользователи, сидящие за прокси/натом?
|
|
Кто юзеры системы? И почему ограничение по набору символов в пароле? Ограничение по пользователям (слабая память:-)) или по системе (не встречал еще такой:-)). 26.01.06 14:09
Автор: Garick <Yuriy> Статус: Elderman Отредактировано 26.01.06 14:13 Количество правок: 1
|
|
| |
Юзеры системы - обычные пользователи, возможно некоторые... 26.01.06 14:15
Автор: sergey312 Статус: Незарегистрированный пользователь
|
Юзеры системы - обычные пользователи, возможно некоторые даже слабо разбирающиеся в компьютерной технике и с трудом различающие кнопки Power и reset на системном блоке.
Область применения такая, что вносятся ограничения...
|
| | |
На кнопках Повер и Ресет тяжеловато набрать код, хотя задержка будет хорошая:-) Круг пользователей определен или открытый ресурс? 26.01.06 14:22
Автор: Garick <Yuriy> Статус: Elderman
|
|
| | | |
Круг пользователей определен. Но ресурс открытый, нету... 26.01.06 14:30
Автор: sergey312 Статус: Незарегистрированный пользователь
|
Круг пользователей определен. Но ресурс открытый, нету какой-то привязки к диапазонам ip.
|
| | | | |
Продолжаем вытягивать подробности:-) Те юзверям возможно раздать носители ключевой инфы и уже их запоролить цифрами. Если конечно ограничения в пользователях, а не софте. 26.01.06 14:33
Автор: Garick <Yuriy> Статус: Elderman
|
|
| | | | | |
Ограничение не в софте, а в железе. 26.01.06 14:51
Автор: sergey312 Статус: Незарегистрированный пользователь
|
|
| | | | | | |
Веб сервис, встроенный в "коробку"? Вот нельзя было это все сразу написать?:-) 26.01.06 15:48
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
Идея: можно с куками извратиться 26.01.06 13:57
Автор: whiletrue <Роман> Статус: Elderman
|
сабж, т.е. у юзера они должны быть включены, хотя это не самое злое неудобство, имхо
Читаем есть ли кука с ID у данного чела. Проверяем ее.. Если все в порядке даем ему вводить логин/пароль. Если от данного ID дофига запросов - то блокируем его (можно на очень долго). Если же куки нет или она не в порядке (но не заблокирована) - то генерим новый ID. При генерации должна быть задержка.
В итоге:
1. Легальный пользователь, который уже хоть раз заходил - имеет легальную куку и может вводить логин/пароль совсем без задержек.
2. Легальный пользователь, который пришел первый раз (ну или куки очистил) - получит задержку при генерации, но потом будет входить без задержек.
3. Не легальный пользователь (робот), у которого уже есть нужная кука - будет заблокирован после попытки перебора. Т.е. "умный" робот должен очистить свою куку в этом случае, и перейти в пункт 4
4. Не легальный пользователь (робот), у которого нет куки - получит задержку при генерации и перейдет в разряд 3. Т.е. задержка получится все равно.
|
| |
--skip-- 26.01.06 14:17
Автор: sergey312 Статус: Незарегистрированный пользователь
|
> сабж, т.е. у юзера они должны быть включены, хотя это не > самое злое неудобство, имхо > > Читаем есть ли кука с ID у данного чела. Проверяем ее.. > Если все в порядке даем ему вводить логин/пароль. Если от > данного ID дофига запросов - то блокируем его (можно на > очень долго). Если же куки нет или она не в порядке (но не > заблокирована) - то генерим новый ID. При генерации должна > быть задержка. --skip--
Имхо куки есть бооольшой вред.
|
| | |
А почему же вред? В данном случае в ней не хранится ничего конфиденциального! 26.01.06 14:27
Автор: whiletrue <Роман> Статус: Elderman
|
|
| | | |
Вред, потому что куки можно отключить или заблокировать, что... 26.01.06 14:31
Автор: sergey312 Статус: Незарегистрированный пользователь
|
Вред, потому что куки можно отключить или заблокировать, что делают довольно большое кол-во умных людей..
|
| | | | |
Ты же говорил, что твоя аудитория Ресет от Эникей не отличает 26.01.06 14:37
Автор: whiletrue <Роман> Статус: Elderman
|
> Вред, потому что куки можно отключить или заблокировать, > что делают довольно большое кол-во умных людей..
Ну предупреждай на сайте... хотя спорить не буду дело вкуса.
|
| | |
Тогда, имо, только "картинка" 26.01.06 14:24
Автор: whiletrue <Роман> Статус: Elderman
|
Сабж, она же CAPTCHA, она же тест на человечность. http://www.captcha.net/
Хотя, есть для нее софт и методы по распознаванию. Но как дополнительная мера - не плохо.
Вторая полумера - это фильтровать не только по IP-шникам, а по полному набору переменных.
|
| | | |
Почитав что это такое и возможности - имхо оооочень неплохой... 26.01.06 14:33
Автор: sergey312 Статус: Незарегистрированный пользователь
|
> Сабж, она же CAPTCHA, она же тест на человечность. > http://www.captcha.net/ > > Хотя, есть для нее софт и методы по распознаванию. Но как > дополнительная мера - не плохо.
Почитав что это такое и возможности - имхо оооочень неплохой сдерживающий фактор от роботов и скрипт-кидди
> Вторая полумера - это фильтровать не только по IP-шникам, а > по полному набору переменных.
Кстати да, может какие переменные из окружения можно вытянуть, чтобы более-менее идентифицировать пользователя?
|
| | | | |
Да, имхо - бери полный набор да делай из него хэш... 26.01.06 14:39
Автор: whiletrue <Роман> Статус: Elderman
|
|
|
Вводить задержку после неправильного логина/пароля, чтобы подбор был невозможен по времени 26.01.06 12:12
Автор: Yurii <Юрий> Статус: Elderman
|
|
| |
По каким параметрам блокировать? ip? тогда будут страдать... 26.01.06 12:40
Автор: sergey312 Статус: Незарегистрированный пользователь
|
По каким параметрам блокировать? ip? тогда будут страдать другие люди за прокси/натом. По логину? Так тогда появляется пункт2 - подбор логинов по паролю...
|
| | |
Ну... можно добавить еще проверку на человечность (captcha) - тож мера. 26.01.06 13:38
Автор: whiletrue <Роман> Статус: Elderman
|
|
| | | |
Под java есть какие-то готовые решения? 26.01.06 14:18
Автор: sergey312 Статус: Незарегистрированный пользователь
|
|
|
|