информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Очередное исследование 19 миллиардов...   Оптимизация ввода-вывода как инструмент...   Зловреды выбирают Lisp и Delphi
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / web building		Имя Пароль

	если вы видите этот текст, отключите в настройках форума использование JavaScript

ФОРУМ
	все доски
	FAQ
	IRC
	новые сообщения
	site updates
	guestbook
	beginners
	sysadmin
	programming
	operating systems
	theory
	web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация

Легенда:   новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение

• Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
• Новичкам также крайне полезно ознакомиться с данным документом.

					Хы-2 26.01.06 13:38  Число просмотров: 3081 Автор: Yurii <Юрий> Статус: Elderman Отредактировано 26.01.06 13:39  Количество правок: 1 <"чистая" ссылка>
					> а как же скрипт кидди? лишь бы куда влезть, а потом об этом > везде кричать. Если ты защищаешь что-то серьезное, то без стойких паролей все равно не обойтись. А если инфа выеденного яйца не стоит, то пусть ломают все подряд. Разве на имидж mail.ru повлияют крики кулхакера, который вскрыл аккаунт своего соседа-второгодника, угадав пароль со второй попытки?
					<web building>

Защита от подбора пароля на сайте 26.01.06 12:09   Автор: sergey312 Статус: Незарегистрированный пользователь <"чистая" ссылка>

Какие есть хитрые трюки для защиты от подбора? Допустим есть два типа взлома: 1. Подбор пароля для конкретного логина. 2. Подбор логина под конкретный пароль. Как более грамотно защититься, чтобы меньше страдали пользователи, сидящие за прокси/натом?

	Кто юзеры системы? И почему ограничение по набору символов в пароле? Ограничение по пользователям (слабая память:-)) или по системе (не встречал еще такой:-)). 26.01.06 14:09   Автор: Garick <Yuriy> Статус: Elderman Отредактировано 26.01.06 14:13  Количество правок: 1 <"чистая" ссылка>

		Юзеры системы - обычные пользователи, возможно некоторые... 26.01.06 14:15   Автор: sergey312 Статус: Незарегистрированный пользователь <"чистая" ссылка>
		Юзеры системы - обычные пользователи, возможно некоторые даже слабо разбирающиеся в компьютерной технике и с трудом различающие кнопки Power и reset на системном блоке. Область применения такая, что вносятся ограничения...

			На кнопках Повер и Ресет тяжеловато набрать код, хотя задержка будет хорошая:-) Круг пользователей определен или открытый ресурс? 26.01.06 14:22   Автор: Garick <Yuriy> Статус: Elderman <"чистая" ссылка>

				Круг пользователей определен. Но ресурс открытый, нету... 26.01.06 14:30   Автор: sergey312 Статус: Незарегистрированный пользователь <"чистая" ссылка>
				Круг пользователей определен. Но ресурс открытый, нету какой-то привязки к диапазонам ip.

					Продолжаем вытягивать подробности:-) Те юзверям возможно раздать носители ключевой инфы и уже их запоролить цифрами. Если конечно ограничения в пользователях, а не софте. 26.01.06 14:33   Автор: Garick <Yuriy> Статус: Elderman <"чистая" ссылка>

						Ограничение не в софте, а в железе. 26.01.06 14:51   Автор: sergey312 Статус: Незарегистрированный пользователь <"чистая" ссылка>

							Веб сервис, встроенный в "коробку"? Вот нельзя было это все сразу написать?:-) 26.01.06 15:48   Автор: Garick <Yuriy> Статус: Elderman <"чистая" ссылка>

Идея: можно с куками извратиться 26.01.06 13:57   Автор: whiletrue <Роман> Статус: Elderman <"чистая" ссылка>

сабж, т.е. у юзера они должны быть включены, хотя это не самое злое неудобство, имхо Читаем есть ли кука с ID у данного чела. Проверяем ее.. Если все в порядке даем ему вводить логин/пароль. Если от данного ID дофига запросов - то блокируем его (можно на очень долго). Если же куки нет или она не в порядке (но не заблокирована) - то генерим новый ID. При генерации должна быть задержка. В итоге: 1. Легальный пользователь, который уже хоть раз заходил - имеет легальную куку и может вводить логин/пароль совсем без задержек. 2. Легальный пользователь, который пришел первый раз (ну или куки очистил) - получит задержку при генерации, но потом будет входить без задержек. 3. Не легальный пользователь (робот), у которого уже есть нужная кука - будет заблокирован после попытки перебора. Т.е. "умный" робот должен очистить свою куку в этом случае, и перейти в пункт 4 4. Не легальный пользователь (робот), у которого нет куки - получит задержку при генерации и перейдет в разряд 3. Т.е. задержка получится все равно.

		--skip-- 26.01.06 14:17   Автор: sergey312 Статус: Незарегистрированный пользователь <"чистая" ссылка>
		> сабж, т.е. у юзера они должны быть включены, хотя это не > самое злое неудобство, имхо > > Читаем есть ли кука с ID у данного чела. Проверяем ее.. > Если все в порядке даем ему вводить логин/пароль. Если от > данного ID дофига запросов - то блокируем его (можно на > очень долго). Если же куки нет или она не в порядке (но не > заблокирована) - то генерим новый ID. При генерации должна > быть задержка. --skip-- Имхо куки есть бооольшой вред.

			А почему же вред? В данном случае в ней не хранится ничего конфиденциального! 26.01.06 14:27   Автор: whiletrue <Роман> Статус: Elderman <"чистая" ссылка>

				Вред, потому что куки можно отключить или заблокировать, что... 26.01.06 14:31   Автор: sergey312 Статус: Незарегистрированный пользователь <"чистая" ссылка>
				Вред, потому что куки можно отключить или заблокировать, что делают довольно большое кол-во умных людей..

					Ты же говорил, что твоя аудитория Ресет от Эникей не отличает 26.01.06 14:37   Автор: whiletrue <Роман> Статус: Elderman <"чистая" ссылка>
					> Вред, потому что куки можно отключить или заблокировать, > что делают довольно большое кол-во умных людей.. Ну предупреждай на сайте... хотя спорить не буду дело вкуса.

			Тогда, имо, только "картинка" 26.01.06 14:24   Автор: whiletrue <Роман> Статус: Elderman <"чистая" ссылка>
			Сабж, она же CAPTCHA, она же тест на человечность. http://www.captcha.net/ Хотя, есть для нее софт и методы по распознаванию. Но как дополнительная мера - не плохо. Вторая полумера - это фильтровать не только по IP-шникам, а по полному набору переменных.

				Почитав что это такое и возможности - имхо оооочень неплохой... 26.01.06 14:33   Автор: sergey312 Статус: Незарегистрированный пользователь <"чистая" ссылка>
				> Сабж, она же CAPTCHA, она же тест на человечность. > http://www.captcha.net/ > > Хотя, есть для нее софт и методы по распознаванию. Но как > дополнительная мера - не плохо. Почитав что это такое и возможности - имхо оооочень неплохой сдерживающий фактор от роботов и скрипт-кидди > Вторая полумера - это фильтровать не только по IP-шникам, а > по полному набору переменных. Кстати да, может какие переменные из окружения можно вытянуть, чтобы более-менее идентифицировать пользователя?

					Да, имхо - бери полный набор да делай из него хэш... 26.01.06 14:39   Автор: whiletrue <Роман> Статус: Elderman <"чистая" ссылка>

	Вводить задержку после неправильного логина/пароля, чтобы подбор был невозможен по времени 26.01.06 12:12   Автор: Yurii <Юрий> Статус: Elderman <"чистая" ссылка>

		По каким параметрам блокировать? ip? тогда будут страдать... 26.01.06 12:40   Автор: sergey312 Статус: Незарегистрированный пользователь <"чистая" ссылка>
		По каким параметрам блокировать? ip? тогда будут страдать другие люди за прокси/натом. По логину? Так тогда появляется пункт2 - подбор логинов по паролю...

			Ну... можно добавить еще проверку на человечность (captcha) - тож мера. 26.01.06 13:38   Автор: whiletrue <Роман> Статус: Elderman <"чистая" ссылка>

				Под java есть какие-то готовые решения? 26.01.06 14:18   Автор: sergey312 Статус: Незарегистрированный пользователь <"чистая" ссылка>

1  |  2   »

Copyright © 2001-2025 Dmitry Leonov

Page build time: 1 s

Design: Vadim Derkach