Stressweb - брутят

[Visor]

Это кстати актуальная проблема. Все по своему правы.
На деле чем больше препятствий от брута тем лучше.
Насчет префикса логина - это неправильно и неудобно.

Это должно быть комплекное решение.
1) Настроить фаревол для порезки асинхронных соединений, сильно частых соединений
2) усложнить рисунок капчи
3) включить файревол в движке сайта, в SW этого правда нету

Самая тру стратегия от брута - это гнобить брутера банами автоматически на время в итоге брут растянется на месяцыт - а брутеры такого не любят и быстро "сдыхают".

Если после этого проклюнулся брутер - то это будут единичные ИП которые легко побанить - что отберет время у брутера и т.д. пока у него брутерка не поломается.

Не в обиду будет сказано, но SW слабоватый по защитным свойствам движок - и там с ним еще работать и работать чтобы поднять безопасность самого движка, дополнительно можно бы внедрить теже проверки слабых мест в ПхП для админов которые этого не понимают.

Все что я написал это не выдумки, а долгий опыт больбы с читерами и брутерами.
Если кто не понимает о чем написано, или понимает, но не может настроить защиту сервера, но хочет чтобы ему настроили файревол и пхп от потенциальных дырищ - за денежку помогу. Это еще и защита от ддоса- нормально настроенный файревол (не от всякого на 100%, но от большей части) Пишите в личку.

[Place]

защита должна быть в первую очередь для нубов - которые разбрасывают свои логины и пароли по всему интернету.
их же потом и раздевают
они же потом и ноют

[pchayka]

защитите моих игроков чтобы они не давали свои аккаунты "погонять", "консте", "ПЛу", "васе, которого я с 5го класса знаю".

плачу $

[Visor]

От этого нельзя защититься, а также от псевдодрузей - в этом виноваты сами игроки - но вот когда брутом нарубили аккантов - это уже вина администрации и вы игроку ничего не расскажете, что мол это брутер мощный или еще что-то - обязательно будет раздет игрок - который точно не давал никому пароля и он обгадит вам весь форум и разорвет жопку. Вот это как раз должно быть исключено для проекта, который позиционируется как взрослый и защищенный.

[Place]

Цитата:

Сообщение от pchayka

защитите моих игроков чтобы они не давали свои аккаунты "погонять", "консте", "ПЛу", "васе, которого я с 5го класса знаю".

плачу $

и клали они как обычно свою пику на привязку к hwid

[pchayka]

Цитата:

Сообщение от Visor

От этого нельзя защититься, а также от псевдодрузей - в этом виноваты сами игроки - но вот когда брутом нарубили аккантов - это уже вина администрации и вы игроку ничего не расскажете, что мол это брутер мощный или еще что-то - обязательно будет раздет игрок - который точно не давал никому пароля и он обгадит вам весь форум и разорвет жопку. Вот это как раз должно быть исключено для проекта, который позиционируется как взрослый и защищенный.

В 90% случаев раздетых игроков он никому паролей не давал, что такое конста не слышал, пла у него, антивирус стоит, почта в пентагоне, на других серверах не использовал и как такое могло случиться не знает.

Добавлено через 1 минуту
Вообще непонятна мне эта проблема брута в вебе... Ограничить попытки входа на один аккаунт 2-3 разами, далее бан. И капчи не надо, и ипы не блокировать.. А если у юзера такой пароль, что со 2го раза по словарю его подбирает - кто его врач, дайте визитку.

[Visor]

Цитата:

Сообщение от pchayka

В 90% случаев раздетых игроков он никому паролей не давал, что такое конста не слышал, пла у него, антивирус стоит, почта в пентагоне, на других серверах не использовал и как такое могло случиться не знает.

Добавлено через 1 минуту
Вообще непонятна мне эта проблема брута в вебе... Ограничить попытки входа на один аккаунт 2-3 разами, далее бан. И капчи не надо, и ипы не блокировать.. А если у юзера такой пароль, что со 2го раза по словарю его подбирает - кто его врач, дайте визитку.

Все равно попадется чел, который не давал никому пароль от своего мейна которого раздели - и проверить это можно потом по ид компа - когда брутер начнет сплошняком ломится на аккаунты выбрученные и раздевать всех чаров сплошняком. Не надо себя обманывать, типа игроки все идиоты.
Если брутер хороший он выбрутит за день штук 100-200 аккаунтов и каждый день будет лезть все дальше и дальше по чарам.

Насчет входа на один аккаунт - как это интересно реализовать в вебе - это как-то не в тему брута. Брутеру не важно заходить на аккаунт, ему важно вычилить аккаунт и пароль через какую-то страницу на сайте - чтобы потом зайти и раздеть чара спокойно и без паники.

[Romka]

Вот префикс и служит от защиты подбора заранее известных акков, слитых с других серверов. Не забывайте, что можно еще и вручную их пробивать, вбивая в сам клиент. Так же видел брут-автокликер, который работал именно через клиент, автоматом вбивая в него данные.
А автобана за N кол-во попыток неудачного логина в клиенте я еще нигде не видел.

[pchayka]

То, что игроки - идиоты меня убеждать нет толку, закрепленный факт.

Цитата:

Сообщение от Visor

Насчет входа на один аккаунт - как это интересно реализовать в вебе - это как-то не в тему брута. Брутеру не важно заходить на аккаунт, ему важно вычилить аккаунт и пароль через какую-то страницу на сайте - чтобы потом зайти и раздеть чара спокойно и без паники.

Что значит вычислить пароль и аккаунт через страницу на сайте? По айпи вычислить или как?

А блокировать возможность авторизации на аккаунт в вебе после n попыток - это дело тривиальнейшее.

[linliss]

Цитата:

Сообщение от RomkaCW

А автобана за N кол-во попыток неудачного логина в клиенте я еще нигде не видел.

зайдите к конфиг логин сервера