Zdravím, mám v pláne nejako viac ochrániť login na web stránke proti Brute Force útokom teda generovaniu rôznych stringov a... Captcha nieje riešeným, rozmýšľam o podobnom systéme aký má ( Aspoň tuším ,že má, nespomínam si kde som to videl ) Google alebo FaceBook. Ten funguje tak ,že po niekoľkých zlých zadaniach sa úplne obmedzí prístup na daný účet a je potrebné potvrdiť totožnosť prostredníctvom mailu ( Klikne sa v maily na link a zadá nové heslo ).

Problém je v tom kde počítať tie zlé zadanie. Cookie / Session asi ťažko kedže tie sa dajú pri každom requeste zmazať. Sejvovanie do nejakého dajme tomu .txt je odveci. Takže posledné čo ma napadlo je sejvovanie nesprávnych requestov do DB k danému účtu. Ale neviem prečo niesom si tým taktiež na 100% istý, pozná - vie niekto ešte o nejakom inom - lepšom systéme ?

Vďaka za odpovede

kniznica co pouzivam to riesi cez DB, po urcitom pocte zle zadanych loginov (hociakych) sa zamedzi login z tej IP adresy na urcity cas (asi 30min).

Mohol by si napísať aj názov tej knižnice?

sharky-no napísal:zamedzi login z tej IP adresy na urcity cas (asi 30min).

IP sa dá zmeniť.

Nie je vela moznosti ako identifikovat ten isty PC, a IP je asi najucinnejsi z nich. Hoci videl som uz nejake 'nezmazatelne' cookie.. ale neotestoval som to.

ta kniznica je urcena pre CodeIgniter vola sa Tank Auth cize neviem ci ti to pomoze

Ukladanie pocitadla chybnych prihlaseni do DB je uplne v poriadku, nic nie je na tom zle. A ked niekto zada napr. 3x zle heslo k nejakemu uctu, zablokujes na urcity cas pristup k tomuto uctu, tak sa to bezne robi.

Zablokovanie pristupu na ucet je nezmysel, kedze takto vies teoreticky zablokovat vsetkych userov. Lepsie je po urcitom neuspesnom prihlaseni zobrazit captchu, alebo prist s nejakym inym security checkom.

TommyHot: Ako zablokovať všetkých userov? Mek nepísal o blokovaní účtu podľa IP.
Modelová situácia:
Ma hojku máš dva nicky:
1. weroro
2. weroro2

Ak sa budem chcieť prihlásiť na nick weroro a 3x zadám zlé heslo, tak sa tento nick zablokuje na 30min, ale na nick weroro2 sa budem môcť prihlásiť.

Ved vytvorim si nejaky slovnik s potencialnymi usermi a pustim ich v loope nad danymi webom. A za par minut mam zablokovanu peknu kopu userov (ak som sa trafil). Aj google to riesi tak ako som povedal (parkrat sa zle prihlasis a hodi ti captchu, resp vzdy to tak robil)

preboha, on sa pýta na brute force. Načo blokovať na pol hodinu? Stačí mi ho zablokovať na 5 sekúnd a tvoj bruteforce z niekoľkých dní predlžím na niekoľko rokov. Pritom užívateľ nespozoruje vôbec nič (lebo ak je človek a spravil preklep, tak kým napíše nové heslo ho odblokuje). Takto som robil aj svoj flos, ak si naň ešte niekto pamätá

tiez si myslim ze to zbytocne komplikujete, prosto ak heslo nesedi da sa tam mali sleep

Sleep / redirect / block to je úplne jedno. Mne šlo len o čo najlepši systém pre zachovanie tých zlých zadaní. Takže pôjde to klasicky do DB. Vďaka za odpovede