Рейтинг темы:
  • 0 Голос(ов) - 0 в среднем
  • 1
  • 2
  • 3
  • 4
  • 5
Stressweb - брутят
#11
RomkaCW Написал:pickwick, перечитай моё сообщение. У меня префикс по желанию.
Есть чекбокс "Использовать префикс ***"
Если снять галочку, то выскочит блок с таким вот информационным сообщением, где текст написан красным цветом: "Внимание! Если вы отказываетесь использовать префикс, то ваш аккаунт теряет техническую поддержку со стороны администрации. Ознакомьтесь с дополнительной информацией здесь."
И всё. Никаких проблем нет Smile
вешать ответственность на игрока, иза своей корявой обвязки - это определенно успех
Ответ
#12
pickwick,
Цитата:игроков будет напрягать вводить каждый раз префикс
Никого какашкой я не называю Smile

linliss Написал:вешать ответственность на игрока, иза своей корявой обвязки - это определенно успех
100% защиты не существует, однако чем больше всякий препятствий будет, тем лучше.
Ответ
#13
стандартная капча на SW это породие на защиту, я помню где-то полтора года назад написал ее распознавание за пару часов, ставьте нормальную капчу с искаженным шрифтом и местами наезжающими друг на друга символами и никто ее ломать не будет, (пример http://captcha.ru/kcaptcha/) а китайцам на распознавание для брута не эффективно капчи посылать
Ответ
#14
Кто может скинуть в ПМ или сюда прогу для брута, если она работает как я думаю, то выложу еще один способ ее блока.
Ответ
#15
Это все актуально для ранних релизов. Мы выпустили обновление 2 дня назад где уже есть ReCaptcha и префиксы. К тому же исправлена ошибка с возможным обходом стандартной капчи.
В версии 13.04.01 уже сложней брутить. Надо подключать антигейт.

[Изображение: 04.03.12_11:08:42_0a1e6638.png]

Всплывает окно, которое можно закрыть через крестик. Данные с него соответственно вводятся в строку проверочного кода.

Тоже самое с регистрацие, только тут поле с капчей уже встроено.
[Изображение: 04.03.12_11:09:41_2625aecf.png]
Ответ
#16
TARAN;174932 Написал:Кто может скинуть в ПМ или сюда прогу для брута, если она работает как я думаю, то выложу еще один способ ее блока.
Исходники у него же на странице. Не знаю - то, что Вам нужно или нет. Хотя, я не думаю, что механизм распознавания капчи настолько существенно отличается, чем аналогичные.
Ответ
#17
Credo Написал:Исходники у него же на странице. Не знаю - то, что Вам нужно или нет. Хотя, я не думаю, что механизм распознавания капчи настолько существенно отличается, чем аналогичные.

Спасибо конечно, но я спрашивал про сам брутер, а не методику распознавания капчи.
Ответ
#18
Вообще глупенькие сообщения в теме..
1. Префикс-постфикс. Что это? Это тот же логин, только длиннее. Был user_login, с префиксом станет hrenov_prefix_user_login. В чем защита? Она имеет смысл только в случае, если пользователь использует один и тот же логин на все серверах (включая сервак, с которого слили базу и она есть у брутера). При таком раскладе с вероятностью 80% этот лапух (пользователь) будет использовать и пароль тот же. Гемороить пользователей префиксами-постфиксами - бред сивой кобылы, а не защита.
2. Капча. Уже давно владельцы ресурсов, уважающие своих пользователей отказались от нее полностью, или частично (примеры - яндекс, контакт. Просит ввести капчу, когда слишком много запросов с ip пользователя).

Защита. Ну самый, на мой взгляд, веселый - это рандомно менять названия полей в форме, а соответствия названий хранить в базе на сервере с привязкой к сессии. Например можно случайным образом называть поле login как password, а пароль логином соответственно Wink В такие моменты жалею, что не могу увидеть лицо школьника, натужно пытающегося разобраться как же так)))

Добавлено через 3 минуты
Да и еще: отказываться от авторизации на сайте из-за того что сам не в состоянии обеспечить безопасность пользователям - это глупо, и уж тем более такой подход нельзя называть хорошим, или правильным решением!

UPD:
Добавлено через 2 часа 2 минуты
На самом деле реальная защита - это блокировать доступ к сайту для определенного ip. И прокси тут брутера не сильно спасут. Например ставлю я ограничение скажем... 3 запроса в секунду с одного ip - это бан на 5 секунд. 4й запрос увеличивает время бана вдвое и так далее. В результате все прокси будут в бане. Ну а если он начнет брутить по 2 запроса в секунду.. считаем:

Предположим есть 100 прокси (что для юного дарования, скачавшего самую быструю брутилку, уже не так мало), пренебрежем их пингом и получим 200 паролей в секунду.

Подбор по словарю отброшу сразу, у меня стоит ограничение на пароль такое что должны быть буквы разных регистров и числа. ( слов, подобных SomEWoRd23 в словарях нету )

Теперь считаем надежность паролей:
1 символ = 62 варианта (a-z + A-Z + 0-9) = меньше секунды.
2 символа = 62^2 (во второй степени) это 3844 - это около 19 секунд
...
6 символов = 62^6 = 56 800 235 584 - это займет у нашего брутера около... 9 лет.

Предположим у брутера 1000 уникальных IP... ну да, это чуть меньше года... 10к IP - месяц!!

Какая еще защита от брута нужна?
Ответ
#19
Блокировка IP - решение глупое и самое простое если человек не знает что больше делать или вообще не понимает с чем он работает. Заблокировав 1 внешний адрес, можно получить проблем с доступом у тех кто сидит за этим шлюзом.
Ответ
#20
NotSpecified Написал:Блокировка IP - решение глупое и самое простое если человек не знает что больше делать или вообще не понимает с чем он работает. Заблокировав 1 внешний адрес, можно получить проблем с доступом у тех кто сидит за этим шлюзом.

Один внешний ip на подсеть - явление не частое. Как правило это офисы. Домашний интернет уже давно не имеет такой проблемы ни в Москве, ни в других городах нашей необъятной родины. Это раз.

Два - это тот факт, что в лк пользователи заходят совсем не часто.. я бы даже сказал крайне редко. При грамотной настройке времени бана на ip будет возможно один - два зря-заблокированных (временно) пользователей. Это допустимые жертвы при том, что данный метод гарантирует 100% защиту от брута (калькуляции в моем посте выше: на 6-ти значный пароль, имея 10к уникальных ip уйдет месяц)

Три. Если кто-то решит брутить - со своего ip этого делать точно не будет, а через прокси никто в лк не лазиет, так что забаненые прокси - это вообще не потери.

И теперь аргументируйте пожалуйста вашу фразу "решение глупое". Я как раз прекрасно понимаю с чем имею дело, и постоянная безопасность и отсутствие капчи для меня имеет более высокий приоритет, чем тот факт, что один-два человека из нескольких тысяч не смогут зайти в свой лк в течение нескольких секунд.

Добавлено через 3 минуты
Ну а если вас не устраивает вариант с блокировкой - можно не блокировать, а предлагать капчу. Исключительно в тех случаях, когда идет превышение лимита запросов в 1 сек с одного ip. К слову, именно так поступает яндекс, а вконтакте чередует блокировку ip и ввод капчи
Ответ


Возможно похожие темы ...
Тема Автор Ответы Просмотры Последний пост
  проблема со stressweb! sheg300 1 3,198 01-10-2020, 04:13 PM
Последний пост: andLike
  Дыры и уязвимости StressWeb Ananim 4 4,682 10-21-2017, 08:59 PM
Последний пост: Psycho
  Регистрация в STRESSWEB Inside2909 3 2,169 03-11-2016, 08:38 PM
Последний пост: Laguerro
  Поддержка STRESSWEB остановлена? Fresno 4 2,341 03-09-2016, 11:02 PM
Последний пост: Alligat0r
  StressWeb 13. enchantner88 2 2,358 01-25-2016, 09:27 PM
Последний пост: enchantner88
  UnitPay и StressWeb dantest 4 4,752 08-27-2015, 03:00 PM
Последний пост: dantest
  Защита сайта на stressweb Azgard 11 4,865 01-20-2015, 01:59 AM
Последний пост: Azgard
  Указать порт MySQL в StressWeb 11 4arli 4 2,547 10-16-2014, 10:18 AM
Последний пост: 4arli
  Опрос по StressWeb NotSpecified 23 7,439 01-02-2014, 06:00 PM
Последний пост: GOODPower
  [MOD] Улучшенная Регистрация(Improved Registration) - StressWeb[все версии] ReaM 1 7,462 11-23-2013, 06:15 PM
Последний пост: Athlete2

Перейти к форуму:


Пользователи, просматривающие эту тему: 1 Гость(ей)