Re: Stressweb - брутят
 

вешать ответственность на игрока, иза своей корявой обвязки - это определенно успех

Re: Stressweb - брутят
 

pickwick, Никого какашкой я не называю :)

100% защиты не существует, однако чем больше всякий препятствий будет, тем лучше.

Re: Stressweb - брутят
 

стандартная капча на SW это породие на защиту, я помню где-то полтора года назад написал ее распознавание за пару часов, ставьте нормальную капчу с искаженным шрифтом и местами наезжающими друг на друга символами и никто ее ломать не будет, (пример http://captcha.ru/kcaptcha/) а китайцам на распознавание для брута не эффективно капчи посылать

Re: Stressweb - брутят
 

Кто может скинуть в ПМ или сюда прогу для брута, если она работает как я думаю, то выложу еще один способ ее блока.

Re: Stressweb - брутят
 

Это все актуально для ранних релизов. Мы выпустили обновление 2 дня назад где уже есть ReCaptcha и префиксы. К тому же исправлена ошибка с возможным обходом стандартной капчи.
В версии 13.04.01 уже сложней брутить. Надо подключать антигейт.

http://screenshot.ru/screen/04.03.12...2_0a1e6638.png

Всплывает окно, которое можно закрыть через крестик. Данные с него соответственно вводятся в строку проверочного кода.

Тоже самое с регистрацие, только тут поле с капчей уже встроено.
http://screenshot.ru/screen/04.03.12...1_2625aecf.png

Re: Stressweb - брутят
 

Исходники у него же на странице. Не знаю - то, что Вам нужно или нет. Хотя, я не думаю, что механизм распознавания капчи настолько существенно отличается, чем аналогичные.

Re: Stressweb - брутят
 

Спасибо конечно, но я спрашивал про сам брутер, а не методику распознавания капчи.

Re: Stressweb - брутят
 

Вообще глупенькие сообщения в теме..
1. Префикс-постфикс. Что это? Это тот же логин, только длиннее. Был user_login, с префиксом станет hrenov_prefix_user_login. В чем защита? Она имеет смысл только в случае, если пользователь использует один и тот же логин на все серверах (включая сервак, с которого слили базу и она есть у брутера). При таком раскладе с вероятностью 80% этот лапух (пользователь) будет использовать и пароль тот же. Гемороить пользователей префиксами-постфиксами - бред сивой кобылы, а не защита.
2. Капча. Уже давно владельцы ресурсов, уважающие своих пользователей отказались от нее полностью, или частично (примеры - яндекс, контакт. Просит ввести капчу, когда слишком много запросов с ip пользователя).

Защита. Ну самый, на мой взгляд, веселый - это рандомно менять названия полей в форме, а соответствия названий хранить в базе на сервере с привязкой к сессии. Например можно случайным образом называть поле login как password, а пароль логином соответственно ;) В такие моменты жалею, что не могу увидеть лицо школьника, натужно пытающегося разобраться как же так)))

Добавлено через 3 минуты
Да и еще: отказываться от авторизации на сайте из-за того что сам не в состоянии обеспечить безопасность пользователям - это глупо, и уж тем более такой подход нельзя называть хорошим, или правильным решением!

UPD:
Добавлено через 2 часа 2 минуты
На самом деле реальная защита - это блокировать доступ к сайту для определенного ip. И прокси тут брутера не сильно спасут. Например ставлю я ограничение скажем... 3 запроса в секунду с одного ip - это бан на 5 секунд. 4й запрос увеличивает время бана вдвое и так далее. В результате все прокси будут в бане. Ну а если он начнет брутить по 2 запроса в секунду.. считаем:

Предположим есть 100 прокси (что для юного дарования, скачавшего самую быструю брутилку, уже не так мало), пренебрежем их пингом и получим 200 паролей в секунду.

Подбор по словарю отброшу сразу, у меня стоит ограничение на пароль такое что должны быть буквы разных регистров и числа. ( слов, подобных SomEWoRd23 в словарях нету )

Теперь считаем надежность паролей:
1 символ = 62 варианта (a-z + A-Z + 0-9) = меньше секунды.
2 символа = 62^2 (во второй степени) это 3844 - это около 19 секунд
...
6 символов = 62^6 = 56 800 235 584 - это займет у нашего брутера около... 9 лет.

Предположим у брутера 1000 уникальных IP... ну да, это чуть меньше года... 10к IP - месяц!!

Какая еще защита от брута нужна?

Re: Stressweb - брутят
 

Блокировка IP - решение глупое и самое простое если человек не знает что больше делать или вообще не понимает с чем он работает. Заблокировав 1 внешний адрес, можно получить проблем с доступом у тех кто сидит за этим шлюзом.

Re: Stressweb - брутят
 

Один внешний ip на подсеть - явление не частое. Как правило это офисы. Домашний интернет уже давно не имеет такой проблемы ни в Москве, ни в других городах нашей необъятной родины. Это раз.

Два - это тот факт, что в лк пользователи заходят совсем не часто.. я бы даже сказал крайне редко. При грамотной настройке времени бана на ip будет возможно один - два зря-заблокированных (временно) пользователей. Это допустимые жертвы при том, что данный метод гарантирует 100% защиту от брута (калькуляции в моем посте выше: на 6-ти значный пароль, имея 10к уникальных ip уйдет месяц)

Три. Если кто-то решит брутить - со своего ip этого делать точно не будет, а через прокси никто в лк не лазиет, так что забаненые прокси - это вообще не потери.

И теперь аргументируйте пожалуйста вашу фразу "решение глупое". Я как раз прекрасно понимаю с чем имею дело, и постоянная безопасность и отсутствие капчи для меня имеет более высокий приоритет, чем тот факт, что один-два человека из нескольких тысяч не смогут зайти в свой лк в течение нескольких секунд.

Добавлено через 3 минуты
Ну а если вас не устраивает вариант с блокировкой - можно не блокировать, а предлагать капчу. Исключительно в тех случаях, когда идет превышение лимита запросов в 1 сек с одного ip. К слову, именно так поступает яндекс, а вконтакте чередует блокировку ip и ввод капчи