Защита от брутфорсов и авто. регистрации

Creator · 30.06.2005

Вот задумался над созданием подобной фишки, а именно генерации уникального числа (фразы) для защиты от брутфорсов (авто. подбора пароля)...
Т.е. хочу придумать алгоритм для решения... Одно плохо, что я не знаю вообще ничего о брутфорсах

У меня просто есть очень простая идея прятать эту фразу в сессию и потом просто сравнивать введенный ответ с ее содержимым...
С другой стороны это и защита от автоматической регистрации...

Идея такая: придумать максимально удобный вариант и не ресурсоемкий вариант.

~FisHBonE~ · 30.06.2005

На счет брутфорса. Можно в переменную сессию поставить счетчик, кторый бы считал кол-во запросов авторизации. При достижении определенного значения, устанавливать таймаут. Это конечно не самый лучший вариант, но все же...

Насчет авторегистрации. Стоит воспользоваться библиотекой GD2 и генерировать изображение с случайной фразой или набором цифр. Далее добовить несколко линий, расположенных в случайных местах. Далее осталось добавить форму для ввода этой фразы или набора цифр. В принципе, это стандартный метод...

Creator · 30.06.2005

Стоит воспользоваться библиотекой GD2 и генерировать изображение с случайной фразой или набором цифр. Далее добовить несколко линий, расположенных в случайных местах. Далее осталось добавить форму для ввода этой фразы или набора цифр. В принципе, это стандартный метод...

Нет, ты немного не понял... то что ты написал это просто реализации самой генерации картинки, а надо придумать именно алгоритм, который бы защищал и от брутфорсов и от авто. регистрации. Т.е. рассчитывая на то, что брутфорс и этот робот (рег) может читать сессии и анализировать скрытые поля...

Можно в переменную сессию поставить счетчик, кторый бы считал кол-во запросов авторизации. При достижении определенного значения, устанавливать таймаут.

Эта ф-ия обязательно будет присутствовать в итоге

Думаем далее.

Можно, например, сделать так:
Первые 3 запроса на авторизацию не требуют ввода числа с картинки, а после уже генериться картинка...

~FisHBonE~ · 01.07.2005

Мне кажется, что мы имеем несколько разные представления о таких понятиях как брутфорс и авторегистрация

.

В моем понимаии, брутфорс - это просто подбор пароля и/или логина простым перебиранием символов (или словаря), с целью заполучения чужого аккаунта. Авторегистрация - автоматическая регистрация бота на форуме(сайте), с целью распространения рекламы и/или обычного флуда

Так вот, теперь можно рассуждать...
От брутфорса может защитить именно таймаут для данного IP. Даже если бот умеет читать сессии (хотя я себе этого не представляю), то можно шифровать переменные, используя md5. Тоже самое относится и к авторегистрации, достаточно ключевое слово зашифровать и уже никакой бот не сможет просто так зарегистрироваться...

Mirage · 01.07.2005

я конечно понимаю брутфорсер.....хм...а что толку?...мне не надо форсить для того чтобы выципать пароль, люди вы отстали от времени....предлагаю не заниматься ерундой а просто следить за логами сервера и всё...а потом по получившемся логам очень легко поймать злодея...я так и делаю..пока что успешно....прошу прощения если кого обидел... :umnik:...а для форса через инет..хе..это надо слишко много времени и трафика...да линух сам откинет клиента после 100 запросов...вот такие вот делы

~FisHBonE~ · 01.07.2005

Когда ты будешь смотреть логи, может быть уже поздно

Задача, как я понял, не ловить преступника, а не лать ему совершить преступление.

Creator · 01.07.2005

Мне кажется, что мы имеем несколько разные представления о таких понятиях как брутфорс и авторегистрация .

Нет все верно

Наши представления сходятся. Но хотелось сделать универсальное решение для этих вариантов. И мы сделали это!

Резюмируем:

- Шифруем пароль в сессию
- Генерим узображение с паролем
- Делаем счетчик попыток

Все супер! Отличное решение!

Mirage · 03.07.2005

вот это уже верно, но тут есть одно интересное слово PG5...не о чём не говорит...это метод шифрования необратимый...воть...плюсь узображение с цифирем и буквами тут хоть за форсись...а скрипту надо 2 пароля основной и с картинки...вот и вся как говорится любовь :thumbsup:

Creator · 03.07.2005

Код:

вот это уже верно, но тут есть одно интересное слово PG5...не о чём не говорит...это метод шифрования необратимый

А вот тут я с тобой не согласен, MD5 тоже шифрует необратимо! Да, можно найти коллизии, не смотря на обещания разработчиков... Но его хэш не обратим.

Плиз расскажи о "интересном слове PG5"

Очень интересно.

Mirage · 06.07.2005

легко...PG5 появился в 5 версии РНР он как и MD5 необротимо фишрует данные то есть шифронул а вот обратно не может....при вегистрации юзера его пасворд шифруется по методу MD5 а при проверке введенный пароль тоже шифруется и сравнивается с паролем в БД...PG5 работает немного по другому этот метод 256 битного кодирования о чём вы вполне можете прочитать на сайте РНР в разделе обновлений....воть
хотя метод пока что официально не описан....сыроват будет...

v0rbis · 19.07.2005

сорри за

oster_offtopic: :

метод MD5 необратим

проблемой занимались некие люди, существует многогигабайтный словарь для брутфорса, и есть такая программулина MD5inside зовется...

зы реально она не очень роботоспособна..но все же ничто не стоит на месте

))

Защита от брутфорсов и авто. регистрации

Creator

Administrator

~FisHBonE~

Well-Known Member

Creator

Administrator

~FisHBonE~

Well-Known Member

Mirage

Active Member

~FisHBonE~

Well-Known Member

Creator

Administrator

Mirage

Active Member

Creator

Administrator

Mirage

Active Member

v0rbis

selfcoded

Онлайн статистика

Статистика форума

Новые пользователи

Поделиться этой страницей