информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / web building
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ты же говорил, что твоя аудитория Ресет от Эникей не отличает 26.01.06 14:37  Число просмотров: 2954
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
> Вред, потому что куки можно отключить или заблокировать,
> что делают довольно большое кол-во умных людей..

Ну предупреждай на сайте... хотя спорить не буду дело вкуса.
<web building>
Защита от подбора пароля на сайте 26.01.06 12:09  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Какие есть хитрые трюки для защиты от подбора?
Допустим есть два типа взлома:
1. Подбор пароля для конкретного логина.
2. Подбор логина под конкретный пароль.
Как более грамотно защититься, чтобы меньше страдали пользователи, сидящие за прокси/натом?
Кто юзеры системы? И почему ограничение по набору символов в пароле? Ограничение по пользователям (слабая память:-)) или по системе (не встречал еще такой:-)). 26.01.06 14:09  
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 26.01.06 14:13  Количество правок: 1
<"чистая" ссылка>
Юзеры системы - обычные пользователи, возможно некоторые... 26.01.06 14:15  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Юзеры системы - обычные пользователи, возможно некоторые даже слабо разбирающиеся в компьютерной технике и с трудом различающие кнопки Power и reset на системном блоке.
Область применения такая, что вносятся ограничения...
На кнопках Повер и Ресет тяжеловато набрать код, хотя задержка будет хорошая:-) Круг пользователей определен или открытый ресурс? 26.01.06 14:22  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Круг пользователей определен. Но ресурс открытый, нету... 26.01.06 14:30  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Круг пользователей определен. Но ресурс открытый, нету какой-то привязки к диапазонам ip.
Продолжаем вытягивать подробности:-) Те юзверям возможно раздать носители ключевой инфы и уже их запоролить цифрами. Если конечно ограничения в пользователях, а не софте. 26.01.06 14:33  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Ограничение не в софте, а в железе. 26.01.06 14:51  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Веб сервис, встроенный в "коробку"? Вот нельзя было это все сразу написать?:-) 26.01.06 15:48  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Идея: можно с куками извратиться 26.01.06 13:57  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
сабж, т.е. у юзера они должны быть включены, хотя это не самое злое неудобство, имхо

Читаем есть ли кука с ID у данного чела. Проверяем ее.. Если все в порядке даем ему вводить логин/пароль. Если от данного ID дофига запросов - то блокируем его (можно на очень долго). Если же куки нет или она не в порядке (но не заблокирована) - то генерим новый ID. При генерации должна быть задержка.

В итоге:
1. Легальный пользователь, который уже хоть раз заходил - имеет легальную куку и может вводить логин/пароль совсем без задержек.
2. Легальный пользователь, который пришел первый раз (ну или куки очистил) - получит задержку при генерации, но потом будет входить без задержек.
3. Не легальный пользователь (робот), у которого уже есть нужная кука - будет заблокирован после попытки перебора. Т.е. "умный" робот должен очистить свою куку в этом случае, и перейти в пункт 4
4. Не легальный пользователь (робот), у которого нет куки - получит задержку при генерации и перейдет в разряд 3. Т.е. задержка получится все равно.
--skip-- 26.01.06 14:17  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> сабж, т.е. у юзера они должны быть включены, хотя это не
> самое злое неудобство, имхо
>
> Читаем есть ли кука с ID у данного чела. Проверяем ее..
> Если все в порядке даем ему вводить логин/пароль. Если от
> данного ID дофига запросов - то блокируем его (можно на
> очень долго). Если же куки нет или она не в порядке (но не
> заблокирована) - то генерим новый ID. При генерации должна
> быть задержка.
--skip--

Имхо куки есть бооольшой вред.
А почему же вред? В данном случае в ней не хранится ничего конфиденциального! 26.01.06 14:27  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Вред, потому что куки можно отключить или заблокировать, что... 26.01.06 14:31  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Вред, потому что куки можно отключить или заблокировать, что делают довольно большое кол-во умных людей..
Ты же говорил, что твоя аудитория Ресет от Эникей не отличает 26.01.06 14:37  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
> Вред, потому что куки можно отключить или заблокировать,
> что делают довольно большое кол-во умных людей..

Ну предупреждай на сайте... хотя спорить не буду дело вкуса.
Тогда, имо, только "картинка" 26.01.06 14:24  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Сабж, она же CAPTCHA, она же тест на человечность. http://www.captcha.net/

Хотя, есть для нее софт и методы по распознаванию. Но как дополнительная мера - не плохо.

Вторая полумера - это фильтровать не только по IP-шникам, а по полному набору переменных.
Почитав что это такое и возможности - имхо оооочень неплохой... 26.01.06 14:33  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Сабж, она же CAPTCHA, она же тест на человечность.
> http://www.captcha.net/
>
> Хотя, есть для нее софт и методы по распознаванию. Но как
> дополнительная мера - не плохо.

Почитав что это такое и возможности - имхо оооочень неплохой сдерживающий фактор от роботов и скрипт-кидди

> Вторая полумера - это фильтровать не только по IP-шникам, а
> по полному набору переменных.

Кстати да, может какие переменные из окружения можно вытянуть, чтобы более-менее идентифицировать пользователя?
Да, имхо - бери полный набор да делай из него хэш... 26.01.06 14:39  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Вводить задержку после неправильного логина/пароля, чтобы подбор был невозможен по времени 26.01.06 12:12  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
По каким параметрам блокировать? ip? тогда будут страдать... 26.01.06 12:40  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
По каким параметрам блокировать? ip? тогда будут страдать другие люди за прокси/натом. По логину? Так тогда появляется пункт2 - подбор логинов по паролю...
Ну... можно добавить еще проверку на человечность (captcha) - тож мера. 26.01.06 13:38  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Под java есть какие-то готовые решения? 26.01.06 14:18  
Автор: sergey312 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach