Stressweb - брутят - Страница 2 - Форум администраторов игровых серверов
Форум администраторов игровых серверов StormWall - Защита от DDos атак
Регистрация Мнения Справка Пользователи Календарь Все разделы прочитаны
Вернуться   Форум администраторов игровых серверов > MMO > Lineage II > Движки сайтов (CMS)

Движки сайтов (CMS)
Обсуждения, решения проблем веб обвязок для ява сервера.

Ответ
Опции темы
Непрочитано 03.04.2012, 00:27   #11
Аватар для linliss
Герой

По умолчанию Re: Stressweb - брутят

Цитата:
Сообщение от RomkaCW Посмотреть сообщение
pickwick, перечитай моё сообщение. У меня префикс по желанию.
Есть чекбокс "Использовать префикс ***"
Если снять галочку, то выскочит блок с таким вот информационным сообщением, где текст написан красным цветом: "Внимание! Если вы отказываетесь использовать префикс, то ваш аккаунт теряет техническую поддержку со стороны администрации. Ознакомьтесь с дополнительной информацией здесь."
И всё. Никаких проблем нет
вешать ответственность на игрока, иза своей корявой обвязки - это определенно успех
linliss вне форума Ответить с цитированием
Непрочитано 03.04.2012, 00:30   #12
Супергерой

По умолчанию Re: Stressweb - брутят

pickwick,
Цитата:
игроков будет напрягать вводить каждый раз префикс
Никого какашкой я не называю

Цитата:
Сообщение от linliss Посмотреть сообщение
вешать ответственность на игрока, иза своей корявой обвязки - это определенно успех
100% защиты не существует, однако чем больше всякий препятствий будет, тем лучше.
Romka вне форума Ответить с цитированием
Непрочитано 03.04.2012, 01:25   #13
Пользователь

По умолчанию Re: Stressweb - брутят

стандартная капча на SW это породие на защиту, я помню где-то полтора года назад написал ее распознавание за пару часов, ставьте нормальную капчу с искаженным шрифтом и местами наезжающими друг на друга символами и никто ее ломать не будет, (пример http://captcha.ru/kcaptcha/) а китайцам на распознавание для брута не эффективно капчи посылать
BigSnake вне форума Отправить сообщение для BigSnake с помощью ICQ Ответить с цитированием
Непрочитано 03.04.2012, 02:35   #14
Пользователь

По умолчанию Re: Stressweb - брутят

Кто может скинуть в ПМ или сюда прогу для брута, если она работает как я думаю, то выложу еще один способ ее блока.
TARAN вне форума Ответить с цитированием
Непрочитано 03.04.2012, 10:08   #15
Аватар для NotSpecified
Олдфаг

По умолчанию Re: Stressweb - брутят

Это все актуально для ранних релизов. Мы выпустили обновление 2 дня назад где уже есть ReCaptcha и префиксы. К тому же исправлена ошибка с возможным обходом стандартной капчи.
В версии 13.04.01 уже сложней брутить. Надо подключать антигейт.



Всплывает окно, которое можно закрыть через крестик. Данные с него соответственно вводятся в строку проверочного кода.

Тоже самое с регистрацие, только тут поле с капчей уже встроено.
NotSpecified вне форума Ответить с цитированием
Сказали спасибо:
Непрочитано 03.04.2012, 10:23   #16
Аватар для Credo
Герой

По умолчанию Re: Stressweb - брутят

Цитата:
Сообщение от TARAN Посмотреть сообщение
Кто может скинуть в ПМ или сюда прогу для брута, если она работает как я думаю, то выложу еще один способ ее блока.
Исходники у него же на странице. Не знаю - то, что Вам нужно или нет. Хотя, я не думаю, что механизм распознавания капчи настолько существенно отличается, чем аналогичные.
Credo вне форума Отправить сообщение для Credo с помощью ICQ Отправить сообщение для Credo с помощью Skype™ Ответить с цитированием
Непрочитано 03.04.2012, 10:56   #17
Пользователь

По умолчанию Re: Stressweb - брутят

Цитата:
Сообщение от Credo Посмотреть сообщение
Исходники у него же на странице. Не знаю - то, что Вам нужно или нет. Хотя, я не думаю, что механизм распознавания капчи настолько существенно отличается, чем аналогичные.
Спасибо конечно, но я спрашивал про сам брутер, а не методику распознавания капчи.
TARAN вне форума Ответить с цитированием
Непрочитано 07.04.2012, 18:39   #18
Пользователь

По умолчанию Re: Stressweb - брутят

Вообще глупенькие сообщения в теме..
1. Префикс-постфикс. Что это? Это тот же логин, только длиннее. Был user_login, с префиксом станет hrenov_prefix_user_login. В чем защита? Она имеет смысл только в случае, если пользователь использует один и тот же логин на все серверах (включая сервак, с которого слили базу и она есть у брутера). При таком раскладе с вероятностью 80% этот лапух (пользователь) будет использовать и пароль тот же. Гемороить пользователей префиксами-постфиксами - бред сивой кобылы, а не защита.
2. Капча. Уже давно владельцы ресурсов, уважающие своих пользователей отказались от нее полностью, или частично (примеры - яндекс, контакт. Просит ввести капчу, когда слишком много запросов с ip пользователя).

Защита. Ну самый, на мой взгляд, веселый - это рандомно менять названия полей в форме, а соответствия названий хранить в базе на сервере с привязкой к сессии. Например можно случайным образом называть поле login как password, а пароль логином соответственно В такие моменты жалею, что не могу увидеть лицо школьника, натужно пытающегося разобраться как же так)))

Добавлено через 3 минуты
Да и еще: отказываться от авторизации на сайте из-за того что сам не в состоянии обеспечить безопасность пользователям - это глупо, и уж тем более такой подход нельзя называть хорошим, или правильным решением!

UPD:
Добавлено через 2 часа 2 минуты
На самом деле реальная защита - это блокировать доступ к сайту для определенного ip. И прокси тут брутера не сильно спасут. Например ставлю я ограничение скажем... 3 запроса в секунду с одного ip - это бан на 5 секунд. 4й запрос увеличивает время бана вдвое и так далее. В результате все прокси будут в бане. Ну а если он начнет брутить по 2 запроса в секунду.. считаем:

Предположим есть 100 прокси (что для юного дарования, скачавшего самую быструю брутилку, уже не так мало), пренебрежем их пингом и получим 200 паролей в секунду.

Подбор по словарю отброшу сразу, у меня стоит ограничение на пароль такое что должны быть буквы разных регистров и числа. ( слов, подобных SomEWoRd23 в словарях нету )

Теперь считаем надежность паролей:
1 символ = 62 варианта (a-z + A-Z + 0-9) = меньше секунды.
2 символа = 62^2 (во второй степени) это 3844 - это около 19 секунд
...
6 символов = 62^6 = 56 800 235 584 - это займет у нашего брутера около... 9 лет.

Предположим у брутера 1000 уникальных IP... ну да, это чуть меньше года... 10к IP - месяц!!

Какая еще защита от брута нужна?

Последний раз редактировалось Nycs; 07.04.2012 в 20:42. Причина: Добавлено сообщение
Nycs вне форума Ответить с цитированием
Сказали спасибо:
Непрочитано 07.04.2012, 21:42   #19
Аватар для NotSpecified
Олдфаг

По умолчанию Re: Stressweb - брутят

Блокировка IP - решение глупое и самое простое если человек не знает что больше делать или вообще не понимает с чем он работает. Заблокировав 1 внешний адрес, можно получить проблем с доступом у тех кто сидит за этим шлюзом.
NotSpecified вне форума Ответить с цитированием
Непрочитано 07.04.2012, 22:18   #20
Пользователь

По умолчанию Re: Stressweb - брутят

Цитата:
Сообщение от NotSpecified Посмотреть сообщение
Блокировка IP - решение глупое и самое простое если человек не знает что больше делать или вообще не понимает с чем он работает. Заблокировав 1 внешний адрес, можно получить проблем с доступом у тех кто сидит за этим шлюзом.
Один внешний ip на подсеть - явление не частое. Как правило это офисы. Домашний интернет уже давно не имеет такой проблемы ни в Москве, ни в других городах нашей необъятной родины. Это раз.

Два - это тот факт, что в лк пользователи заходят совсем не часто.. я бы даже сказал крайне редко. При грамотной настройке времени бана на ip будет возможно один - два зря-заблокированных (временно) пользователей. Это допустимые жертвы при том, что данный метод гарантирует 100% защиту от брута (калькуляции в моем посте выше: на 6-ти значный пароль, имея 10к уникальных ip уйдет месяц)

Три. Если кто-то решит брутить - со своего ip этого делать точно не будет, а через прокси никто в лк не лазиет, так что забаненые прокси - это вообще не потери.

И теперь аргументируйте пожалуйста вашу фразу "решение глупое". Я как раз прекрасно понимаю с чем имею дело, и постоянная безопасность и отсутствие капчи для меня имеет более высокий приоритет, чем тот факт, что один-два человека из нескольких тысяч не смогут зайти в свой лк в течение нескольких секунд.

Добавлено через 3 минуты
Ну а если вас не устраивает вариант с блокировкой - можно не блокировать, а предлагать капчу. Исключительно в тех случаях, когда идет превышение лимита запросов в 1 сек с одного ip. К слову, именно так поступает яндекс, а вконтакте чередует блокировку ip и ввод капчи

Последний раз редактировалось Nycs; 07.04.2012 в 22:21. Причина: Добавлено сообщение
Nycs вне форума Ответить с цитированием
Ответ

Метки
stressweb brute, stressweb recaptcha


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
StressWeb AlleR Движки сайтов (CMS) 4 11.09.2011 23:37
Stressweb для l2Open aks19 Движки сайтов (CMS) 2 25.05.2011 00:49
Stressweb SkyAngel Lineage II 8 05.10.2010 20:44
STRESSWEB 9.0.1 bizi Движки сайтов (CMS) 1 05.04.2010 21:13


© 2007–2024 «Форум администраторов игровых серверов»
Защита сайта от DDoS атак — StormWall
Работает на Булке неизвестной версии с переводом от zCarot
Текущее время: 02:36. Часовой пояс GMT +3.

Вверх