| |
автор: WinT (30.08.2006 в 13:45) |
|
| | Подскажите как можно сделать это. Или просто как узнать, что юзер пытается подобрать пароль N-ное кол-во раз. | |
| |
|
|
|
| |
|
|
| |
для: cyberface
(30.08.2006 в 13:48)
| | | Ну я бы сделал так: Когщда он нажимает на кнопку идёт проверка, если пароль не правильный, то переменая $i (к примеру) становится больше на один ($i++), если она стало пять или больше (если максимум попыток пять), то вывести сообщение А НЕ МНОГО? | |
| |
|
|
| |
|
|
| |
для: DEM
(30.08.2006 в 14:01)
| | | гыг, переменные не сохраняются в промежутках между работай скрипта... другое дело сессии бд и т.п. | |
| |
|
|
| |
|
|
| |
для: cyberface
(30.08.2006 в 14:57)
| | | сессии тут не прокатят. | |
| |
|
|
| |
|
|
| |
для: WinT
(30.08.2006 в 13:45)
| | | Просто поставьте задержку секунд в 3-5, после этого пароль подобрать будет практически не реально... | |
| |
|
|
| |
|
|
| |
для: cheops
(30.08.2006 в 20:09)
| | | что за задержку поставить? можно чуть по подробнее. Спасибо. | |
| |
|
|
| |
|
|
| |
для: tAleks
(30.08.2006 в 23:50)
| | | В самом начале обработчика напишите:
1 - одна секунда, т.е. ваш взломщик сможет подбирать пароли со скоростью 1 пароль в секунду (чаще не даст ваше условие)...60 в минуту или 3600 в час. Если учесть что комбинаций пароля даже из 6-ти символов может быть миллион, то взломщику для перебора потребуется более 11 суток без перерыва...
Если у вас сервер ЦРУ поставьте sleep(2); будет надёжней! | |
| |
|
|
| |
|
|
| |
для: Владимир22
(31.08.2006 в 01:42)
| | | Только не в начале!
А при неудачной попытке. | |
| |
|
|
| |
|
|
| |
для: Trianon
(31.08.2006 в 09:48)
| | | Хм... а в несколько потоков брутить разве нельзя? | |
| |
|
|
| |
|
|
| |
для: Trianon
(31.08.2006 в 09:48)
| | | Прокатять комбинации комбинирования бд и сессий
Loki: Можно. 15 потоков по 100 шт. в секунду составят 1500 паролей в сек.
А с задержкой : 15 паролей в секунду | |
| |
|
|
| |
|
|
| |
для: valenok
(31.08.2006 в 12:50)
| | | >Прокатять комбинации комбинирования бд и сессий
Что Вы имели в виду? | |
| |
|
|
| |
|
|
| |
для: WinT
(30.08.2006 в 13:45)
| | | мне кажеться можно сделать так при попытке подбота пароля записывать значение переменной щетчика в файл и связывать его с ай пи юзверя при повторной попытке смотреть если айпи тоже то читаем значение переменной если оно привысило лимит то выводим на екран " а не ох..ел ли ты ?? " можно использовать вместо файла базу данных (я новичок так что сильно не смейтесь )))) | |
| |
|
|
| |
автор: WinT (01.09.2006 в 02:00) |
|
| |
для: ReZiStOr
(31.08.2006 в 15:53)
| | | Ладно всем спасибо. Что-нибудь попробую... | |
| |
|
|
| |
|
|
| |
для: WinT
(01.09.2006 в 02:00)
| | | Подобная защита (я про не *ел ли ты) реализована в vBulletin. Я делаю так, если попытка логина неудачная, в таблицу счётчика, прибавляется еденица, как только он достигает скажем десяти, генерируется новый актив. код для данной учётной записи, сама учётка блокируется, для активации как и при регистрации актив. код высылается на email. Однако есть и обратная сторона медали: хакер модет сознательно заблокировать всех юзеров сайта, достаточно за каждого 10 неправильно ввести пасс каждому. Поэтому подумываю просто блокировать 11 попытку входа минут на 20. Варианты с HTTP_REFERER и HTTP_X_FORWARDED_FOR отпадают по-любому, многие ж через прокси ходят. | |
| |
|
|
