Stressweb - брутят

[Visor]

Какое обращение? Какие записи? Или вы при попытке логина на сайте в базу не обращаетесь? Тем же запросом попытки авторизации это делается, даже без ее участия.

Ну так если это будет еще записываться в таблицу, то быстренько набьется пару млн записей и сайт впадет в кому.

[Place]

Родилась идея:
1. накачать баз на жуке
2. повыдергать от туда пароли

после каждой авторизации игрока в игру - если его пароль есть в этой базе - то задалбывать игрока в игре анонсами о смене пароля ...

ну и само собой постоянно ее пополнять

хотя это не спасет от тех кто дает свой акк погонять xD

[Visor]

Сообщение в игре хорошая идея, и вполне осуществимая, спасибо.

[pchayka]

Ну так если это будет еще записываться в таблицу, то быстренько набьется пару млн записей и сайт впадет в кому.

Какая пара миллионов... Добавляем в логин-таблицу сайта 1 колонку - количество неудачных попыток входа. Если там больше 3х - блокировать логин этому аккаунту. Все. При удачном входе - обнуляем.

Добавлено через 1 минуту

Родилась идея:
1. накачать баз на жуке
2. повыдергать от туда пароли

после каждой авторизации игрока игрока в игру - если его пароль есть в этой базе - то забалбывать игрока в игре анонсами о смене пароля ...

ну и само собой постоянно ее пополнять

Достаточно просто не давать игроку задавать свой пароль. И ничего больше делать не нужно - с тем же эффектом.

[Visor]

Какая пара миллионов... Добавляем в логин-таблицу сайта 1 колонку - количество неудачных попыток входа. Если там больше 3х - блокировать логин этому аккаунту. Все. При удачном входе - обнуляем.

Я думаю что это будет тру дыра чтобы сложить и сайт и логин-сервер.
И кого банить - этот аккаунт? прикольно будет игрок пришел а у него все аккаунты забанены)

[Place]

Достаточно просто не давать игроку задавать свой пароль. И ничего больше делать не нужно - с тем же эффектом.

а если сайту пол года или несколько лет ? вот так все стадо погнать генерировать новый пароль :redlol:

Я думаю что это будет тру дыра чтобы сложить и сайт и логин-сервер.
И кого банить - этот аккаунт? прикольно будет игрок пришел а у него все аккаунты забанены)

логируй вход в игру, как это когда то можно было делать в ЛеймГварде

[pchayka]

Я думаю что это будет тру дыра чтобы сложить и сайт и логин-сервер.

А многократными попытками логина можно сложить сайт и логин-сервер? Если тут нет - то и с этой системой нет.

Добавлено через 51 секунду

И кого банить - этот аккаунт? прикольно будет игрок пришел а у него все аккаунты забанены)

Максимум подождет полчаса и зайдет.

Добавлено через 1 минуту

а если сайту пол года или несколько лет ? вот так все стадо погнать генерировать новый пароль

Ну так надо было или раньше думать о защите или не кричать, что вася дурак.

Для новых пользователей и для всех новых смен пароля ввести ее и постепенно оно все перейдет на новую систему.

Можно сразу заблокировать вход в игру тем, кто не сменил пароль по новой системе и т.д.

[Visor]

А многократными попытками логина можно сложить сайт и логин-сервер? Если тут нет - то и с этой системой нет.

Если будут идти постоянные апдейты - то вполне, достаточно не такой большой бот-нет.

Сайт складывают и без таких дыр, а если еще такая будет - то не выпустят.
к примеру с 1 ИП не проблематично качнуть ботнетом 1к обращений в секунду.

А что например будет если аккаунта нет в базе - куда оно запишет обращение? напишет брутеру - попытка неудачная - ну и тру - он дальше попрет.

[FewG]

Я думаю что это будет тру дыра чтобы сложить и сайт и логин-сервер.
И кого банить - этот аккаунт? прикольно будет игрок пришел а у него все аккаунты забанены)

Ну на сколько можно быть таким удутым*? При регистрации послылать код(рандомный) для разблокировки, опять же к примеру.

[pchayka]

Если будут идти постоянные апдейты - то вполне, достаточно не такой большой бот-нет.

Если бы это было так, то все сервера ложились бы именно по этой причине. Берем и тупо логинимся на сайте пока не ляжет. А почему этого не происходит?

А что например будет если аккаунта нет в базе - куда оно запишет обращение?

А что пишет вам при попытке входа в любом ЛК если аккаунта нет? Тут то же самое напишет.