Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | |
Веб сервис, встроенный в "коробку"? Вот нельзя было это все сразу написать?:-) 26.01.06 15:48 Число просмотров: 3039
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
|
<web building>
|
Защита от подбора пароля на сайте 26.01.06 12:09
Автор: sergey312 Статус: Незарегистрированный пользователь
|
Какие есть хитрые трюки для защиты от подбора?
Допустим есть два типа взлома:
1. Подбор пароля для конкретного логина.
2. Подбор логина под конкретный пароль.
Как более грамотно защититься, чтобы меньше страдали пользователи, сидящие за прокси/натом?
|
|
Кто юзеры системы? И почему ограничение по набору символов в пароле? Ограничение по пользователям (слабая память:-)) или по системе (не встречал еще такой:-)). 26.01.06 14:09
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 26.01.06 14:13 Количество правок: 1
|
|
|
| |
Юзеры системы - обычные пользователи, возможно некоторые... 26.01.06 14:15
Автор: sergey312 Статус: Незарегистрированный пользователь
|
Юзеры системы - обычные пользователи, возможно некоторые даже слабо разбирающиеся в компьютерной технике и с трудом различающие кнопки Power и reset на системном блоке.
Область применения такая, что вносятся ограничения...
|
| | |
На кнопках Повер и Ресет тяжеловато набрать код, хотя задержка будет хорошая:-) Круг пользователей определен или открытый ресурс? 26.01.06 14:22
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | |
Круг пользователей определен. Но ресурс открытый, нету... 26.01.06 14:30
Автор: sergey312 Статус: Незарегистрированный пользователь
|
|
Круг пользователей определен. Но ресурс открытый, нету какой-то привязки к диапазонам ip.
|
| | | | |
Продолжаем вытягивать подробности:-) Те юзверям возможно раздать носители ключевой инфы и уже их запоролить цифрами. Если конечно ограничения в пользователях, а не софте. 26.01.06 14:33
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | | | |
Ограничение не в софте, а в железе. 26.01.06 14:51
Автор: sergey312 Статус: Незарегистрированный пользователь
|
|
|
| | | | | | |
Веб сервис, встроенный в "коробку"? Вот нельзя было это все сразу написать?:-) 26.01.06 15:48
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
|
Идея: можно с куками извратиться 26.01.06 13:57
Автор: whiletrue <Роман> Статус: Elderman
|
сабж, т.е. у юзера они должны быть включены, хотя это не самое злое неудобство, имхо
Читаем есть ли кука с ID у данного чела. Проверяем ее.. Если все в порядке даем ему вводить логин/пароль. Если от данного ID дофига запросов - то блокируем его (можно на очень долго). Если же куки нет или она не в порядке (но не заблокирована) - то генерим новый ID. При генерации должна быть задержка.
В итоге:
1. Легальный пользователь, который уже хоть раз заходил - имеет легальную куку и может вводить логин/пароль совсем без задержек.
2. Легальный пользователь, который пришел первый раз (ну или куки очистил) - получит задержку при генерации, но потом будет входить без задержек.
3. Не легальный пользователь (робот), у которого уже есть нужная кука - будет заблокирован после попытки перебора. Т.е. "умный" робот должен очистить свою куку в этом случае, и перейти в пункт 4
4. Не легальный пользователь (робот), у которого нет куки - получит задержку при генерации и перейдет в разряд 3. Т.е. задержка получится все равно.
|
| |
--skip-- 26.01.06 14:17
Автор: sergey312 Статус: Незарегистрированный пользователь
|
> сабж, т.е. у юзера они должны быть включены, хотя это не
> самое злое неудобство, имхо
>
> Читаем есть ли кука с ID у данного чела. Проверяем ее..
> Если все в порядке даем ему вводить логин/пароль. Если от
> данного ID дофига запросов - то блокируем его (можно на
> очень долго). Если же куки нет или она не в порядке (но не
> заблокирована) - то генерим новый ID. При генерации должна
> быть задержка.
--skip--
Имхо куки есть бооольшой вред.
|
| | |
А почему же вред? В данном случае в ней не хранится ничего конфиденциального! 26.01.06 14:27
Автор: whiletrue <Роман> Статус: Elderman
|
|
|
| | | |
Вред, потому что куки можно отключить или заблокировать, что... 26.01.06 14:31
Автор: sergey312 Статус: Незарегистрированный пользователь
|
|
Вред, потому что куки можно отключить или заблокировать, что делают довольно большое кол-во умных людей..
|
| | | | |
Ты же говорил, что твоя аудитория Ресет от Эникей не отличает 26.01.06 14:37
Автор: whiletrue <Роман> Статус: Elderman
|
> Вред, потому что куки можно отключить или заблокировать,
> что делают довольно большое кол-во умных людей..
Ну предупреждай на сайте... хотя спорить не буду дело вкуса.
|
| | |
Тогда, имо, только "картинка" 26.01.06 14:24
Автор: whiletrue <Роман> Статус: Elderman
|
Сабж, она же CAPTCHA, она же тест на человечность. http://www.captcha.net/
Хотя, есть для нее софт и методы по распознаванию. Но как дополнительная мера - не плохо.
Вторая полумера - это фильтровать не только по IP-шникам, а по полному набору переменных.
|
| | | |
Почитав что это такое и возможности - имхо оооочень неплохой... 26.01.06 14:33
Автор: sergey312 Статус: Незарегистрированный пользователь
|
> Сабж, она же CAPTCHA, она же тест на человечность.
> http://www.captcha.net/
>
> Хотя, есть для нее софт и методы по распознаванию. Но как
> дополнительная мера - не плохо.
Почитав что это такое и возможности - имхо оооочень неплохой сдерживающий фактор от роботов и скрипт-кидди
> Вторая полумера - это фильтровать не только по IP-шникам, а
> по полному набору переменных.
Кстати да, может какие переменные из окружения можно вытянуть, чтобы более-менее идентифицировать пользователя?
|
| | | | |
Да, имхо - бери полный набор да делай из него хэш... 26.01.06 14:39
Автор: whiletrue <Роман> Статус: Elderman
|
|
|
|
Вводить задержку после неправильного логина/пароля, чтобы подбор был невозможен по времени 26.01.06 12:12
Автор: Yurii <Юрий> Статус: Elderman
|
|
|
| |
По каким параметрам блокировать? ip? тогда будут страдать... 26.01.06 12:40
Автор: sergey312 Статус: Незарегистрированный пользователь
|
|
По каким параметрам блокировать? ip? тогда будут страдать другие люди за прокси/натом. По логину? Так тогда появляется пункт2 - подбор логинов по паролю...
|
| | |
Ну... можно добавить еще проверку на человечность (captcha) - тож мера. 26.01.06 13:38
Автор: whiletrue <Роман> Статус: Elderman
|
|
|
| | | |
Под java есть какие-то готовые решения? 26.01.06 14:18
Автор: sergey312 Статус: Незарегистрированный пользователь
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
