Меню
Что нового?

Запрет логина после 3 раз?

seva2

Партнер PHPClub.ru
Запрет логина после 3 раз?

Хочу сделать так, что если ты ввел 3 раза не верно пароль, то тебе не выдается форма логина...

Как лучше всего сделать?

У хакеров куки точно отключены.... посоветуйте плиз
 

msdn11

Новичок
записывай в базу попытки войти, или в сессию... только хакеру что бы обратиться к твоему скрипту и браузер не нужен, не то что твоя форма...
 

Romantik

TeaM PHPClub
seva2
главное не блокируй записи по логину ибо всех пользователей можно заблокировать тогда
а вообще грамотно сделать, что бы подобные действия были видны админу и пресекать (блокировать ИП) на время или не давать вводить после трех попыток несколько минут вводить с этого ИП
 

seva2

Партнер PHPClub.ru
Стоп тогда вопрос по другому..

Доступ к админ панели умеют всего 4 человека, можно ли как то сделать чтобы только с этих 4 компов был доступ?

По IP не пойдет.... Часто меняется
 

seva2

Партнер PHPClub.ru
Понмиаеш шас то я сделал по основным(офис + домашние)

Но например надо будет залогинеться из другого места а я не смогу....

Именно интересует как можно сделать, чтобы только с определенных компьютеров можно было входить...

Например какой нить может патч поставить или что то типа того?
 

ForJest

- свежая кровь
seva2
Можно посмотреть в сторону SSL. Т.е. выписать на каждый комп сертификат или как оно там делается. И таким образом, если на компе есть сертификат, то пускать. Если нету - то не пускать. Как-то так.

-~{}~ 27.01.06 17:57:

А вообще - выпиши на эти 4-ре компа куки и всё. В куку положи по одной секретной строчке. И проверяй. Если передана секретная строчка - логинимся. Не передана - выдаём форму с логином.
 

seva2

Партнер PHPClub.ru
Бресь Сергей хакеры сначало выташили пароль а потом с 1 раза залогинились!

Так по кукам... идея интересная, а что нить более долговечное можно сделать?

Просто куку могут почистеть

SSL помойму платные, и это не нужные расходы)
 

ksnk

прохожий
seva2
SSL платные - если нужна действительно банковская секурность. Для проствх юзеров можно тестовые сертификаты генерить бесплатно.
 
Solid

Solid

Drosera anglica
Не понятно, каким образом ХаКиРы смогли "вытащить" пароль. В голове только одна мысль - криво написан скрипт.
 

seva2

Партнер PHPClub.ru
Solid пойми есть дырки, от которых никто не застрахован...


ksnk 30 дней всего бесплатно... + кто использовал их?

Трафа больше ест при ssl сертификатах?

где можно по русски прочитать как все это организовывается?
 

kost

Новичок
Не думаю что хакер будет страдать угадыванием пароля. Он просто будет делать полный перебор. А от этого можно застраховаться просто сделав в скрипте задержку на 2 секунды при неправильном вводе. Это значительно приостановит скорость полного перебора.
А от обычных людей сессией.

Что вы думаете по поводу сего решения?
 

kost

Новичок
Фанат
> зачем? при чём здесь обычные люди и сессия?

Ну, чтоб создавалось впечатление что, мол, сайт защищен от всяких там левых вышеупомянутых хакеров.
 
Фанат

Фанат

oncle terrible
Команда форума
мы здесь защиту обсуждаем, или впечатление?
но даже если предположить бред про впечатление
и какое такое впечатление создают сессии?
ты, вообще, в курсе, что это такое? ни с чем их не путаешь?
 

kost

Новичок
Фанат

Сесси те же самые. http://www.phpfaq.ru/sessions

Я говорю про САБЖ. Что, мол, в сессию следует записывать количество попыток - это для впечатления о безопасности. Когда рядовой пользователь введет три раза неправильный пароль, пытавшись его угадать, он получит сообщение типа "Вам вход заблокирован на N часов". Но это легко обойти. => Надо еще и делать задержку после каждой неправильной попытки.
 
Войдите или зарегистрируйтесь для ответа.
Сверху