Форум администраторов игровых серверов
Страница 6 из 11 12345 6 7891011
Показывать 40 сообщений этой темы на одной странице

Форум администраторов игровых серверов (https://forum.zone-game.info/TT.php)
-   Движки сайтов (CMS) (https://forum.zone-game.info/forumdisplay.php?f=47)
-   -   Stressweb - брутят (https://forum.zone-game.info/showthread.php?t=19011)

Visor 09.04.2012 00:54
Re: Stressweb - брутят
 
Цитата:
Сообщение от pchayka (Сообщение 176789)
Какое обращение? Какие записи? Или вы при попытке логина на сайте в базу не обращаетесь? Тем же запросом попытки авторизации это делается, даже без ее участия.
Ну так если это будет еще записываться в таблицу, то быстренько набьется пару млн записей и сайт впадет в кому.

Place 09.04.2012 00:55
Re: Stressweb - брутят
 
Родилась идея:
1. накачать баз на жуке
2. повыдергать от туда пароли

после каждой авторизации игрока в игру - если его пароль есть в этой базе - то задалбывать игрока в игре анонсами о смене пароля ...

ну и само собой постоянно ее пополнять

хотя это не спасет от тех кто дает свой акк погонять xD

Visor 09.04.2012 00:56
Re: Stressweb - брутят
 
Сообщение в игре хорошая идея, и вполне осуществимая, спасибо.

pchayka 09.04.2012 00:56
Re: Stressweb - брутят
 
Цитата:
Сообщение от Visor (Сообщение 176791)
Ну так если это будет еще записываться в таблицу, то быстренько набьется пару млн записей и сайт впадет в кому.
Какая пара миллионов... Добавляем в логин-таблицу сайта 1 колонку - количество неудачных попыток входа. Если там больше 3х - блокировать логин этому аккаунту. Все. При удачном входе - обнуляем.

Добавлено через 1 минуту
Цитата:
Сообщение от Place (Сообщение 176793)
Родилась идея:
1. накачать баз на жуке
2. повыдергать от туда пароли

после каждой авторизации игрока игрока в игру - если его пароль есть в этой базе - то забалбывать игрока в игре анонсами о смене пароля ...

ну и само собой постоянно ее пополнять
Достаточно просто не давать игроку задавать свой пароль. И ничего больше делать не нужно - с тем же эффектом.

Visor 09.04.2012 00:58
Re: Stressweb - брутят
 
Цитата:
Сообщение от pchayka (Сообщение 176795)
Какая пара миллионов... Добавляем в логин-таблицу сайта 1 колонку - количество неудачных попыток входа. Если там больше 3х - блокировать логин этому аккаунту. Все. При удачном входе - обнуляем.
Я думаю что это будет тру дыра чтобы сложить и сайт и логин-сервер.
И кого банить - этот аккаунт? прикольно будет игрок пришел а у него все аккаунты забанены)

Place 09.04.2012 00:59
Re: Stressweb - брутят
 
Цитата:
Сообщение от pchayka (Сообщение 176795)
Достаточно просто не давать игроку задавать свой пароль. И ничего больше делать не нужно - с тем же эффектом.
а если сайту пол года или несколько лет ? вот так все стадо погнать генерировать новый пароль :redlol:

Цитата:
Сообщение от Visor (Сообщение 176797)
Я думаю что это будет тру дыра чтобы сложить и сайт и логин-сервер.
И кого банить - этот аккаунт? прикольно будет игрок пришел а у него все аккаунты забанены)
логируй вход в игру, как это когда то можно было делать в ЛеймГварде

pchayka 09.04.2012 01:00
Re: Stressweb - брутят
 
Цитата:
Сообщение от Visor (Сообщение 176797)
Я думаю что это будет тру дыра чтобы сложить и сайт и логин-сервер.
А многократными попытками логина можно сложить сайт и логин-сервер? Если тут нет - то и с этой системой нет.

Добавлено через 51 секунду
Цитата:
Сообщение от Visor (Сообщение 176797)
И кого банить - этот аккаунт? прикольно будет игрок пришел а у него все аккаунты забанены)
Максимум подождет полчаса и зайдет.

Добавлено через 1 минуту
Цитата:
Сообщение от Place (Сообщение 176799)
а если сайту пол года или несколько лет ? вот так все стадо погнать генерировать новый пароль
Ну так надо было или раньше думать о защите или не кричать, что вася дурак.

Для новых пользователей и для всех новых смен пароля ввести ее и постепенно оно все перейдет на новую систему.

Можно сразу заблокировать вход в игру тем, кто не сменил пароль по новой системе и т.д.

Visor 09.04.2012 01:01
Re: Stressweb - брутят
 
Цитата:
Сообщение от pchayka (Сообщение 176800)
А многократными попытками логина можно сложить сайт и логин-сервер? Если тут нет - то и с этой системой нет.
Если будут идти постоянные апдейты - то вполне, достаточно не такой большой бот-нет.

Сайт складывают и без таких дыр, а если еще такая будет - то не выпустят.
к примеру с 1 ИП не проблематично качнуть ботнетом 1к обращений в секунду.

А что например будет если аккаунта нет в базе - куда оно запишет обращение? напишет брутеру - попытка неудачная - ну и тру - он дальше попрет.

FewG 09.04.2012 01:03
Re: Stressweb - брутят
 
Цитата:
Сообщение от Visor (Сообщение 176797)
Я думаю что это будет тру дыра чтобы сложить и сайт и логин-сервер.
И кого банить - этот аккаунт? прикольно будет игрок пришел а у него все аккаунты забанены)
Ну на сколько можно быть таким удутым*? При регистрации послылать код(рандомный) для разблокировки, опять же к примеру.

pchayka 09.04.2012 01:04
Re: Stressweb - брутят
 
Цитата:
Сообщение от Visor (Сообщение 176803)
Если будут идти постоянные апдейты - то вполне, достаточно не такой большой бот-нет.
Если бы это было так, то все сервера ложились бы именно по этой причине. Берем и тупо логинимся на сайте пока не ляжет. А почему этого не происходит?


Цитата:
Сообщение от Visor (Сообщение 176803)
А что например будет если аккаунта нет в базе - куда оно запишет обращение?
А что пишет вам при попытке входа в любом ЛК если аккаунта нет? Тут то же самое напишет.


Текущее время: 05:23. Часовой пояс GMT +3.
Страница 6 из 11 12345 6 7891011
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot