информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsSpanning Tree Protocol: недокументированное применениеЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / web building
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Почитав что это такое и возможности - имхо оооочень неплохой... 26.01.06 14:33  Число просмотров: 3114
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Сабж, она же CAPTCHA, она же тест на человечность.
> http://www.captcha.net/
>
> Хотя, есть для нее софт и методы по распознаванию. Но как
> дополнительная мера - не плохо.

Почитав что это такое и возможности - имхо оооочень неплохой сдерживающий фактор от роботов и скрипт-кидди

> Вторая полумера - это фильтровать не только по IP-шникам, а
> по полному набору переменных.

Кстати да, может какие переменные из окружения можно вытянуть, чтобы более-менее идентифицировать пользователя?
<web building>
Защита от подбора пароля на сайте 26.01.06 12:09  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Какие есть хитрые трюки для защиты от подбора?
Допустим есть два типа взлома:
1. Подбор пароля для конкретного логина.
2. Подбор логина под конкретный пароль.
Как более грамотно защититься, чтобы меньше страдали пользователи, сидящие за прокси/натом?
Кто юзеры системы? И почему ограничение по набору символов в пароле? Ограничение по пользователям (слабая память:-)) или по системе (не встречал еще такой:-)). 26.01.06 14:09  
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 26.01.06 14:13  Количество правок: 1
<"чистая" ссылка>
Юзеры системы - обычные пользователи, возможно некоторые... 26.01.06 14:15  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Юзеры системы - обычные пользователи, возможно некоторые даже слабо разбирающиеся в компьютерной технике и с трудом различающие кнопки Power и reset на системном блоке.
Область применения такая, что вносятся ограничения...
На кнопках Повер и Ресет тяжеловато набрать код, хотя задержка будет хорошая:-) Круг пользователей определен или открытый ресурс? 26.01.06 14:22  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Круг пользователей определен. Но ресурс открытый, нету... 26.01.06 14:30  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Круг пользователей определен. Но ресурс открытый, нету какой-то привязки к диапазонам ip.
Продолжаем вытягивать подробности:-) Те юзверям возможно раздать носители ключевой инфы и уже их запоролить цифрами. Если конечно ограничения в пользователях, а не софте. 26.01.06 14:33  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Ограничение не в софте, а в железе. 26.01.06 14:51  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Веб сервис, встроенный в "коробку"? Вот нельзя было это все сразу написать?:-) 26.01.06 15:48  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Идея: можно с куками извратиться 26.01.06 13:57  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
сабж, т.е. у юзера они должны быть включены, хотя это не самое злое неудобство, имхо

Читаем есть ли кука с ID у данного чела. Проверяем ее.. Если все в порядке даем ему вводить логин/пароль. Если от данного ID дофига запросов - то блокируем его (можно на очень долго). Если же куки нет или она не в порядке (но не заблокирована) - то генерим новый ID. При генерации должна быть задержка.

В итоге:
1. Легальный пользователь, который уже хоть раз заходил - имеет легальную куку и может вводить логин/пароль совсем без задержек.
2. Легальный пользователь, который пришел первый раз (ну или куки очистил) - получит задержку при генерации, но потом будет входить без задержек.
3. Не легальный пользователь (робот), у которого уже есть нужная кука - будет заблокирован после попытки перебора. Т.е. "умный" робот должен очистить свою куку в этом случае, и перейти в пункт 4
4. Не легальный пользователь (робот), у которого нет куки - получит задержку при генерации и перейдет в разряд 3. Т.е. задержка получится все равно.
--skip-- 26.01.06 14:17  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> сабж, т.е. у юзера они должны быть включены, хотя это не
> самое злое неудобство, имхо
>
> Читаем есть ли кука с ID у данного чела. Проверяем ее..
> Если все в порядке даем ему вводить логин/пароль. Если от
> данного ID дофига запросов - то блокируем его (можно на
> очень долго). Если же куки нет или она не в порядке (но не
> заблокирована) - то генерим новый ID. При генерации должна
> быть задержка.
--skip--

Имхо куки есть бооольшой вред.
А почему же вред? В данном случае в ней не хранится ничего конфиденциального! 26.01.06 14:27  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Вред, потому что куки можно отключить или заблокировать, что... 26.01.06 14:31  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Вред, потому что куки можно отключить или заблокировать, что делают довольно большое кол-во умных людей..
Ты же говорил, что твоя аудитория Ресет от Эникей не отличает 26.01.06 14:37  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
> Вред, потому что куки можно отключить или заблокировать,
> что делают довольно большое кол-во умных людей..

Ну предупреждай на сайте... хотя спорить не буду дело вкуса.
Тогда, имо, только "картинка" 26.01.06 14:24  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Сабж, она же CAPTCHA, она же тест на человечность. http://www.captcha.net/

Хотя, есть для нее софт и методы по распознаванию. Но как дополнительная мера - не плохо.

Вторая полумера - это фильтровать не только по IP-шникам, а по полному набору переменных.
Почитав что это такое и возможности - имхо оооочень неплохой... 26.01.06 14:33  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Сабж, она же CAPTCHA, она же тест на человечность.
> http://www.captcha.net/
>
> Хотя, есть для нее софт и методы по распознаванию. Но как
> дополнительная мера - не плохо.

Почитав что это такое и возможности - имхо оооочень неплохой сдерживающий фактор от роботов и скрипт-кидди

> Вторая полумера - это фильтровать не только по IP-шникам, а
> по полному набору переменных.

Кстати да, может какие переменные из окружения можно вытянуть, чтобы более-менее идентифицировать пользователя?
Да, имхо - бери полный набор да делай из него хэш... 26.01.06 14:39  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Вводить задержку после неправильного логина/пароля, чтобы подбор был невозможен по времени 26.01.06 12:12  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
По каким параметрам блокировать? ip? тогда будут страдать... 26.01.06 12:40  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
По каким параметрам блокировать? ip? тогда будут страдать другие люди за прокси/натом. По логину? Так тогда появляется пункт2 - подбор логинов по паролю...
Ну... можно добавить еще проверку на человечность (captcha) - тож мера. 26.01.06 13:38  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Под java есть какие-то готовые решения? 26.01.06 14:18  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach