после сообщил :
Вы совершили ошибку при вводе логина и пароля.... ит.д.
и завис сайта.
---------------
у меня мозила(может это мои проблемы, не знаю, но сайт перестал показывать ввод логина)
Как по мне, так это всё от лукавого.
Смотрим соцмэтров и что мы видим - тю, ...., блин, ..., совсем не солидно, лажа, отстой и т.д.
Не этим нужно брать.
Я сегодня с утречка немного причесала свои файлы. Кое-где чуточку изменила алгоритм (теперь при проверке пароля обрабатываются и Qwerty и qwerty - вчера забыла это сделать и Qwerty или qwErTy могли оказаться валидными паролями - сегодня уже нет)...ну, и еще кое-где.
Самое главное - теперь страница перегружается автоматически (как и просил neart). Сделано это на скорую руку и проверялось мной в Опере. Плиз, посмотрите другими браузерами.
Всех пользователей, кто зарегился до сегодня, 15 мск, я удалила. Заодно уменьшила время задержки, чтобы вы не позасыпали. Пробуйте зарегится сначала и брутфорсить не забывайте.
Виктору. Спасибо тебе, милый, за поддержку и понимание. На экране регистрации в случае ввода числа символов меньше установленного (сейчас 5) выскочит то самое предупреждение, о котором ты говоришь. К сожалению, минимальное и максимальное число символов сейчас не регулируется, а выставляется при редактировании скрипта. В принципе, немного повозившись, можно вынести это в регулировки, только нужно ли? Вряд ли админ сайта будет каждый день менять длину паролей)))))).
Что касается выставления логинов напоказ в адресной строке - полностью с тобой согласна, но в те механизмы я не лазила....может, когда совсем делать будет нечего)))
Я бы предложил в тему ещё вот что:
- во-первых, на экране регистрации сделать проверку на длину пароля и на количество повторяющихся букв и на наличие букв разного регистра. Хакер изначально зная, что минимальная длина пароля, скажем 8 символов и в нём есть цифры и буквы разного регистра плюс задержки через каждые 3 подбора, то и не будет затевать брутфорс.
- во-вторых, я изначально выступал против выставления напоказ логинов пользователей сайта и сейчас ещё раз кину камень в этот огород. Раз уж так хочется, то ввести при регистрации ещё один параметр, "Название домашней папки" которое и будет светиться в пути http:/mybestsite.ru/user/HomePage, а логин убрать с глаз долой.
Но понятное дело - это не к тебе Света, это к разработчикам.
Виктор, когда я писала алгоритм, я держала в голове проблему, которую ты изложил. Могу тебе сказать, что заложила регулировку, позволяющую нескольким разным юзерам иметь одинаковый ip. Регулировку выполняет админ сайта. В этом случае алгоритм несколько меняется для этого ip, но принцип остается прежним. Короче, не переживай по этому поводу.
в этом плане, блокировка по IP, совсем не айс, а если учесть, что хаккер может менять IP сколько угодно раз, и стой частото, как ему угодно, то блокировка по IP добавить гемороя лишь для обычных юзеров
Светлана - ты молодец! Подняла эту тему и предложила свои наработки.
Маленький вопрос по пункту 1:
1. Защита формы авторизации от перебора логина-пароля. При обнаружении перебора сперва делается предупреждение, а затем перебирающий блокируется.
Так вот сам вопрос - блокируется по ip? Это значит, что если атакующий (или просто забывчивый посетитель) из сетки (а у нас например, полгорода в одной сетке сидят и полгорода в другой, ну полгорода конечно грубо, но эти два по полгорода наверно процентов не меньше 80 инетчиков). Вернусь к вопросу, так вот один такой "товарисчь" заблокирует доступ к сайту для всех пользователей своей сетки - что есть не совсем "айс".
В целях конспирации не обязательно отвечать именно здесь - можно в личку написать .
Предлагаю провести обсуждение алгоритмов защиты инстанты. Как говорится "одна голова хорошо, а две лучше". Не думаю, что для этого нужно сильно прятаться - кто захочет всё равно сможет найти исходники - просто нужно по-максимуму осложнить жизнь атакующему, но не в ущерб обычным посетителям сайта.
Я не программер мне просто интересен человеческий фактор по которому отбирается чел, которому можно скинуть а которому нет.
Проще говоря, что мешает тому же человеку попросить у Вас дороботку и распотрошить?
Все верно, социнженерия рулит.
И кто захочет достанет скрипт и "распотрошит".
Но думаю, те кто способны это сделать не станут биться головой о дверь т.е. брутфорсить,
а влезут в окно.
Взять туже историю о которой напомнила Светлана,
из нескольких способов взлома ни один не был через админку.
P.S. А вообще я за открытые системы, как более надежные. )
Теперь о причинах, почему мой скрипт не может быть опубликован или выложен в открытый доступ. На нашем сайте в форуме появлялось сообщение (месяца два назад, наверное), о том, что какой-то человек захотел выяснить, насколько безопасен Инстант. Сам он в сайтостроении не особо продвинут, поэтому заплатил человеку сведующему, тот скачал движок Инстанта и исследовал его вдоль и поперек.
А далее следующее
Если кому-то захочется поставить мой скрипт себе на сайт, пусть обращается в личку. Я ему отправлю письмо с подробным описанием и полными техническими характеристиками.
Я не программер мне просто интересен человеческий фактор по которому отбирается чел, которому можно скинуть а которому нет.
Проще говоря, что мешает тому же человеку попросить у Вас дороботку и распотрошить?
Постараюсь сделать автоматическое обновление формы авторизации на аяксе в ближайшем будущем. Меня в первую очередь интересовал алгоритм защиты, а не финтифлюшки.
Что касается одной или двух или трех попыток - это все легко настраивается. Равно как и время задержки. Я просто выставила от балды, хотя каждый админ сможет сделать все это, как ему нравится - хочет 3 секунды, хочет - 3 года....
и еще если человек реально начал брутфорсить после 5 попыток вроде ему таймаут в 30 минут, правда после 30 минут уже и нормальный пароль вызывает таймаут на 30 минут! следовательно если, брутить будут масштабно это вызовет полный отказа от признания нормальных паролей от правильных логинов.
ну отсутствие линка, реально это полбеды, ибо система открытая и прогнать поиск, скрипта авторизации не сложно, есть один моментик, который Светланка, пока не до закрыла, а так что могу сказать, снимаю шляпу сделано прикольно просто и лаконично!. простой дурачек возомнивший себя хакером будет отважен от сайта.
Вы совершили ошибку при вводе логина и пароля.... ит.д.
и завис сайта.
---------------
у меня мозила(может это мои проблемы, не знаю, но сайт перестал показывать ввод логина)
Смотрим соцмэтров и что мы видим - тю, ...., блин, ..., совсем не солидно, лажа, отстой и т.д.
Не этим нужно брать.
Я сегодня с утречка немного причесала свои файлы. Кое-где чуточку изменила алгоритм (теперь при проверке пароля обрабатываются и Qwerty и qwerty - вчера забыла это сделать и Qwerty или qwErTy могли оказаться валидными паролями - сегодня уже нет)...ну, и еще кое-где.
Самое главное - теперь страница перегружается автоматически (как и просил neart). Сделано это на скорую руку и проверялось мной в Опере. Плиз, посмотрите другими браузерами.
Всех пользователей, кто зарегился до сегодня, 15 мск, я удалила. Заодно уменьшила время задержки, чтобы вы не позасыпали. Пробуйте зарегится сначала и брутфорсить не забывайте.
Виктору. Спасибо тебе, милый, за поддержку и понимание. На экране регистрации в случае ввода числа символов меньше установленного (сейчас 5) выскочит то самое предупреждение, о котором ты говоришь. К сожалению, минимальное и максимальное число символов сейчас не регулируется, а выставляется при редактировании скрипта. В принципе, немного повозившись, можно вынести это в регулировки, только нужно ли? Вряд ли админ сайта будет каждый день менять длину паролей)))))).
Что касается выставления логинов напоказ в адресной строке - полностью с тобой согласна, но в те механизмы я не лазила....может, когда совсем делать будет нечего)))
а вообще создайте тикет в багтрекере
- во-первых, на экране регистрации сделать проверку на длину пароля и на количество повторяющихся букв и на наличие букв разного регистра. Хакер изначально зная, что минимальная длина пароля, скажем 8 символов и в нём есть цифры и буквы разного регистра плюс задержки через каждые 3 подбора, то и не будет затевать брутфорс.
- во-вторых, я изначально выступал против выставления напоказ логинов пользователей сайта и сейчас ещё раз кину камень в этот огород. Раз уж так хочется, то ввести при регистрации ещё один параметр, "Название домашней папки" которое и будет светиться в пути http:/mybestsite.ru/user/HomePage, а логин убрать с глаз долой.
Но понятное дело - это не к тебе Света, это к разработчикам.
т.е. запрещать вход с этим логином на некоторое время
Маленький вопрос по пункту 1:
В целях конспирации не обязательно отвечать именно здесь - можно в личку написать
Предлагаю провести обсуждение алгоритмов защиты инстанты. Как говорится "одна голова хорошо, а две лучше". Не думаю, что для этого нужно сильно прятаться - кто захочет всё равно сможет найти исходники - просто нужно по-максимуму осложнить жизнь атакующему, но не в ущерб обычным посетителям сайта.
Проще говоря, что мешает тому же человеку попросить у Вас дороботку и распотрошить?
женская логика порой не понятна мужчинам..))
И кто захочет достанет скрипт и "распотрошит".
Но думаю, те кто способны это сделать не станут биться головой о дверь т.е. брутфорсить,
а влезут в окно.
Взять туже историю о которой напомнила Светлана,
из нескольких способов взлома ни один не был через админку.
P.S. А вообще я за открытые системы, как более надежные. )
Проще говоря, что мешает тому же человеку попросить у Вас дороботку и распотрошить?
Что касается одной или двух или трех попыток - это все легко настраивается. Равно как и время задержки. Я просто выставила от балды, хотя каждый админ сможет сделать все это, как ему нравится - хочет 3 секунды, хочет - 3 года....