| |
|
|
| | Вот читал статью
http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=1377
Возникли некоторые мысли относительно обычной защиты от перебора пароля, без бана айпишника, предлагается такой вариант задержки:
<?php sleep(1); //задержка на 1 секунду?>
|
Я так подумал, теоретически, можно сделать еще лучше, а именно:
Присваивать не конкретное время, а тенденцию, например первая попытка задержка на секунду, вторая на 10, третья на 30, и т.д
Разумеется для каждого конкретного айпишника.
И в таком случае перебор будет полностью невозможен.
А к примеру если для одного и того же логина осуществляется перебор пароля с разных IP, то задержку осуществлять уже относительно конкретного логина. | |
| |
|
|
| |
|
|
| |
для: ANGO
(17.05.2007 в 22:36)
| | | > Присваивать не конкретное время, а тенденцию, например первая попытка задержка на секунду, вторая на 10, третья на 30, и т.д
К сожалению, это уже придумали до Вас, Вы немного опоздали с открытием...
> И в таком случае перебор будет полностью невозможен.
Не согласен, это можно обойти.
На самом деле, мысли у Вас правильные, но к сожалению не бывает такой защиты, которую нельзя было бы вскрыть, надо думать о том чтобы усложнить жизнь взломщику...
Данный метод можно комбинировать с другими методами защиты, что и делается, давольно- таки успешно.
Вообще за последнее время все реже и реже занимаются перебором паролей лоб в лоб.
Если надо будет что-то взломать, то скорее всего, пойдут другими путями. Это факт. | |
| |
|
|
| |
|
|
| |
для: mefestofel
(17.05.2007 в 23:11)
| | | Согласен, я же говорю про защиту от тупого перебора и не больше
Я вот думаю, а почему бы не открыть на этом форуме отдельную тему БЕЗОПАСНОСТЬ и упорядоченно скрадывать все мысли, советы, технологии, проблемы, и т.д. ?
Вот на пример тут
http://forum.codenet.ru/showthread.php?t=21825
Такая попытка уже осуществляется | |
| |
|
|
| |
|
|
| |
для: ANGO
(17.05.2007 в 23:28)
| | | Скрадывать - не интересно, надо что-то придумывать самому, а вообще понимать как можно снять ту или иную защиту начинаешь после того как вникнешь в суть работы скрипта или программы. Тогда начинаешь думать и о безопасности, на самом деле - тема давольно таки скользкая и многого по ней не напишешь, не из-за того что мало материала или не хватает пищи для размышлений, а скорее всего не хочется чтобы какие-нибудь лица с еще неокрепшей психикой использовали сие труды для совершения преступных дияний. | |
| |
|
|
| |
|
|
| |
для: mefestofel
(17.05.2007 в 23:56)
| | | >Скрадывать - не интересно
Вобще, не смотря на то что у него написано скрадывать, мне показалось, что он имел ввиду "складывать" :)
Хотя Вам виднее ;) | |
| |
|
|
| |
|
|
| |
для: ANGO
(17.05.2007 в 23:28)
| | | Темы по безопасности, которые мы затрагиваем на форуме, банальные, это всем известные постулаты, а мануалов, посвященных тому как использовать уязвимости, эксплойты и т.д. здесь никто не ведет.
Для этого есть сайты соответствующей направленности. | |
| |
|
|
| |
|
|
| |
для: mefestofel
(17.05.2007 в 23:59)
| | | >тому как использовать уязвимости, эксплойты и т.д. здесь никто не ведет.
Лучше сказать более корректно здесь не принято это обсуждать (владеющих предметом людей не мало), так как форум созидающих программистов (либидо), а не разрушающих (мартидо). Даже граберы находятся на грани фола - их использование остаётся на совести разработчика, так как протокол не ограничивает в реализации браузера - хочешь сайт смотреть под таким углом - на здоровье, только поможем - извлекаешь прибыль в обход владельца - на твоей совести, но если это заявлено в цели вопроса, помощи скорее всего дождаться не удасться, так как каждый из конструктивных разработчиков может оказаться в этой незавидной роли и помогать вряд ли будет. | |
| |
|
|
