Przeglądający wątek:
1 Anonimowi
Irbis
Bestia
Moja propozycja nie dosuje konta parominutową blokadą, a daje blokadę do odblokowania z dostępem do maila. Przy czym nie trzeba czytać brzydkich obrazków tylko wystarczy klikniecie na linka lub copy paste kodu dla kolejnych 3 prób. Rozwiązanie idealne. ^^
Jam jest Toboe, Wyjący Irbis.
Tygrys z Cheshire
Anthro
PERMABAN
Cóż. Im metody zapewnienia bezpieczeństwa są bardziej skomplikowane tym paradoksalnie obniża się poziom bezpieczeństwa, szczególnie w odniesieniu do 'utrudniania' dostępu użytkownikowi. Polfurs ma bardzo niską 'ważność' w porównaniu do innych serwisów z których korzystamy dlatego ładowanie nie wiadomo jakich zabezpieczeń jest bezsensowne.
Z tego co zostało wymienione w zasadzie chyba tylko ograniczenie liczby nieprawidłowych logowań. Kwestia tylko po ilu nieudanych próbach i na ile. Samo to, że system będzie dawał np. 5 sekund blokady po każdej próbie już spowoduje, że bruteforce będzie praktycznie niewykonalny. Użytkownicy praktycznie tego nie odczują.
Byłbym jednak DarkV za tym, żebyś jednak spróbował wrzucić do profilu listę nieudanych logowań (chyba w bazie gdzieś to powinieneś mieć wiec nie powinien być to jakiś problem).
Z tego co zostało wymienione w zasadzie chyba tylko ograniczenie liczby nieprawidłowych logowań. Kwestia tylko po ilu nieudanych próbach i na ile. Samo to, że system będzie dawał np. 5 sekund blokady po każdej próbie już spowoduje, że bruteforce będzie praktycznie niewykonalny. Użytkownicy praktycznie tego nie odczują.
Byłbym jednak DarkV za tym, żebyś jednak spróbował wrzucić do profilu listę nieudanych logowań (chyba w bazie gdzieś to powinieneś mieć wiec nie powinien być to jakiś problem).
Ostatnio edytowany przez Smok dnia 17.01.2014 15:15:36
0
(+0|-0)
Re: Voteban
Wysłano: 17.01.2014 13:14:31
Wysłano: 17.01.2014 13:14:31
Nie jest idealne bo maile lecą plaintextem.
Robię takie zabezpieczenia i analizy zabezpieczeń zawodowo. Im zabezpieczenie prostsze, tym mniej ma podatności i najlepsze zabezpieczenia to takie, które nie wymagają wysyłania informacji poza system i bazują na wiedzy użytkownika. To nie konto bankowe, danych osobowych nie ma. W zasadzie wartości chronionych tyle co kot napłakał.
Trzeba skorzystać z tego, co już w zasadzie jest ale jest nieużywane.
"Well! I've often seen a cat without a grin," thought Alice; " but a grin without a cat! It's the most curious thing I ever seen in my life!"
Irbis
Bestia
Maile lecą plaintekstem ale do posiadacza konta (maila) i zawierają jednorazowe kody/linki. Podsluchasz serwer polfursa by wiedzieć jakie maile śle?
Jam jest Toboe, Wyjący Irbis.
Tygrys z Cheshire
Anthro
PERMABAN
Zdajesz sobie sprawę że nie jest to zbyt trudne. Wiem, że jest to wykonalne. Między innymi dlatego, nie wysyła się danych autoryzacyjnych mailem.
"Well! I've often seen a cat without a grin," thought Alice; " but a grin without a cat! It's the most curious thing I ever seen in my life!"
Arachne
Taur
- Samo to, że system będzie dawał np. 5 sekund blokady po każdej próbie już spowoduje, że bruteforce będzie praktycznie niewykonalny.
Niezupełnie. Samo w sobie jest to zabezpieczenie niewystarczające z tych samych powodów które już były wymienione wcześniej.
Jeśli blokada jest na IP to masz DoS całej sieci za natem. Automat jest w stanie wyczekać te 5 sek dokładniej niż user i jako pierwszy wstrzeli się w slot.
Można uzależnić od sesji php ale to łatwo obejść botem w pytonie z terminala który za każdym razem ustawi sobie inne php session id.
Może uzależnić to od client side ssl certificate? Tylko nie wiem jak ze wsparciem tego w różnych przeglądarkach.
/edit: Chociaż też nie, wygenerowanie 20 certyfikatów z góry a potem można curlem za każdym razem inny podawać...
Ostatnio edytowany przez DarkV dnia 17.01.2014 13:56:00
Uncia Hortensis
Rabatka
Dodaj monitor błędnych logowań. Zobacz czy ktoś w ogóle w przeciągu miesiąca nawet próbuje się logować na konta. Z igły widły i nikogo nie obchodzi irytujący captcha.
Myr
Shiny Ditto
Zmiennokształtny
Szkoła Elejska: Ruch nie istnieje
Teologia apofatyczna: pozytywne poznanie natury Boga przekracza granice możliwości ludzkiego rozumu, można tylko mówić jaki nie jest; Bóg jest niematerialny, nieskończony, nie zły, nie dobry, niepoznawalny, nie jest bytem, nie jest myślą...
Teologia apofatyczna: pozytywne poznanie natury Boga przekracza granice możliwości ludzkiego rozumu, można tylko mówić jaki nie jest; Bóg jest niematerialny, nieskończony, nie zły, nie dobry, niepoznawalny, nie jest bytem, nie jest myślą...
Charyzmatyczny Nieznajomy z Imprezy
PERMABAN
rafper, co ty, w poprzednim temacie koleś dostał chyba z 15 raportów i tak nie dostał bana, nawet Edi się dziwił co takiego musiał nagadać DarkVowi, że dalej tu siedzi 
PERMABAN
Pff 15...
Dostalem 4 ostzreżenia, 22 raporty za "obrażanie wszystkich mieszkańców Łodzi" i jakoś nadal tu jestem, więc kto by się tu czymkolwiek przejmował.
I za ten post pewnie min 3 raporty dostanę bo na Ryana zawsze mogę liczyć ^^
Więc po hugo nawet taki temat na PF
Hello, I'm the Kunako. Basically... Run...
Tygrys z Cheshire
Anthro
PERMABAN
Raportuje cię tylko kiedy łamiesz regulamin chłopczyku. Głupoty nie raportuję.
"Well! I've often seen a cat without a grin," thought Alice; " but a grin without a cat! It's the most curious thing I ever seen in my life!"
Nie możesz rozpoczynać nowych wątków.
Możesz przeglądać wątki.
Nie możesz dodawać odpowiedzi.
Nie możesz edytować swoich postów.
Nie możesz kasować swoich postów.
Nie możesz dodawać ankiet.
Nie możesz głosować.
Nie możesz dodawać załączników.
Nie możesz pisać bez weryfikacji.