Алгоритм реализации проверки от автоподбора при авторизации

[dimagolov]

подождите....
защита от подбора может быть только в задержке (увеличивающейся) в отправке ответа о неправильном вводе пароля. если мы генерим уникальный id формы авторизации, то атакующий вынужден будет ждать новой формы. правда, он может запросить ее пустую, пока не знаю как это решить.

не вижу места ни для какой капчи тут, так как надо исходить из того, что атакующий каждый раз запрашивает форму авторизации с нуля и мы не можем ему отказать в этом, разве что блокируя IP с которого идет атака.

 

[zerkms]

dimagolov
было предложение привязываться к логину... если несколько ошибок, то, возможно, пауза в следующих авторизациях и капча

 

[флоппик]

Частый запрос формы злоумышленником - это проблема решения DoS'a, а мы говорим о подборе пароля к конкретному логину (т.е. о сабмите формы), а значит, к нему можно и привязаться, и посчитать для него число попыток, и показать капчу. Все верно.

 

[dimagolov]

Тогда надо делать в 2 стадии:
0. получаем логин - пароль, смотрим статус подбора
1. если есть подбор - делаем задержку (можно уже через meta, а в сессии, она гарантированно должна быть дублируем время задержки, чтобы meta не игнорировали), отдаем капчу + сразу все кто не отдают сессионную куку идуд за елки, если подбора нету - проверяем и отдаем результат.
2. После окончания задержки и получения правильной капчи проверяем пароль и отдаем результат.

 

[флоппик]

Мммм... а зачем при наличии капчи делать задержку? У нас жеж ведь тогда количество комбинаций и так подскачет до астрономических значений. Что решит задержка?

-~{}~ 18.07.08 17:40:

Задержка доставит только проблемы нормальному пользователю, при наличии защиты в виде капчи.

 

[dimagolov]

ок, про задержку согласен. то есть если получили больше N неправильных логинов (счетчик сбрасывать при правильном), то перед проверкой пароля показываем каптчу и проверяем пароль только после корректного введения каптчи. максимум на что попадет юзер- на ввод каптчи.

правда миллион китайцев все равно поломают это, но от бота спасет точно

 

[gray07]

Задержка в отправке ответа вообще бессмысленна, даже без капчи. Во первых нагружает сервер (висят процессы и кушают память). Во вторых бот может одновременно открыть пару сотен соединений с сервером, и сможет подобрать сотни паролей в секунду при задержке в пару секунд.

Нужно выводить юзеру сообщение об ошибке "Подождите 1 минуту, потом введите пароль еще раз" сразу, без задержки

 

[kvf77]

Личто я делаю так - раз ввел неправильный пароль второй раз показывается картинка (капча)

 

[GP]

Автор оригинала: kvf77
раз ввел неправильный пароль второй раз показывается картинка (капча)

Чо то как то быстро, надо дать пользователю шанс включить правильную раскладку и убрать капс.
Поэтому думаю выводить каптчу после 3х попыток- самое оптимальное.

 

[dimagolov]

GP, лучше JS-ом проверять Caps по крайней мере до введения пароля

 

[Mr_Max]

GP
Самое оптимально в данном случае - это внимательность относительно даты создания топика

 

[Groove]

А можно сделать так:
5 неудачных логинов - бан на сутки и отправка на мыло пользователя ссылки для АВТОЛОГИНА.
Если это делал САМ пользователь, то ему не надо будет мучаться дальше и при заходе по это ссылке он автоматом авторизуется и снимается бан, а вот если это делал не сам пользователь, а злоумышленник с целью не дать истинному пользователю зайти под своим именем, то он жестоко обломается.

-~{}~ 16.08.08 09:32:

тьфу, и я не посмотрел дату %)

 

[iceman]

.

-~{}~ 16.08.08 13:58:

dimagolov
бот будет считывать страничку? или отправлять ГЕТ или ПОСТ запрос? ему плевать на ЯвуСкрипт

 

[GP]

Автор оригинала: dimagolov
лучше JS-ом проверять Caps по крайней мере до введения пароля

О, точно! )

Автор оригинала: Mr_Max
GP
Самое оптимально в данном случае - это внимательность относительно даты создания топика

Недоглядел)) А что топик делал наверху?

Автор оригинала: iceman
бот будет считывать страничку? или отправлять ГЕТ или ПОСТ запрос? ему плевать на ЯвуСкрипт

Все правильно, бот будет сразу баниться. А js нужен только для пользователя.