Archívum - Szep 3, 2011
Brute-force elleni védekezés
Sziasztok!
Éppen egy login rendszert rakok össze, működik is szépen, viszont jó fejlesztőként gondolnom kell a kevésbé jóakaratú felhasználókra is, akik tesztelni fogják a rendszert, úgy hogy ráengednek pl. pár ezer request-et. Abban az esetben, ha jó felhasználónevet, de rossz jelszót ad meg a bejelentkezni kívánó user, a próbálkozást letárolom és 5 rossz próbálkozás után fél óráig nem engedem próbálkozni. Mit gondoltok, van-e hátulütője ennek a módszernek? Abban az esetben, ha viszont mindkét adat helytelen egy olyan megoldásra jutottam, hogy a válasz visszaadását késleltetem egy másodperccel (sleep-el). Ez azonban addig megoldás csak, amíg aszinkron lekéréseket csinál a user. Feltehetőleg azonban nem ez lesz a helyzet. Ekkor eszembe jutott, hogy egy IP-ről csak egy kérést engedélyezek egy időben, de ebben az esetben meg a proxy mögött levők szívják meg. Sajnos eddig jutottam! Volna-e valami ötletetek, amivel mindenki jól jár kivéve a támadókat?
■ Éppen egy login rendszert rakok össze, működik is szépen, viszont jó fejlesztőként gondolnom kell a kevésbé jóakaratú felhasználókra is, akik tesztelni fogják a rendszert, úgy hogy ráengednek pl. pár ezer request-et. Abban az esetben, ha jó felhasználónevet, de rossz jelszót ad meg a bejelentkezni kívánó user, a próbálkozást letárolom és 5 rossz próbálkozás után fél óráig nem engedem próbálkozni. Mit gondoltok, van-e hátulütője ennek a módszernek? Abban az esetben, ha viszont mindkét adat helytelen egy olyan megoldásra jutottam, hogy a válasz visszaadását késleltetem egy másodperccel (sleep-el). Ez azonban addig megoldás csak, amíg aszinkron lekéréseket csinál a user. Feltehetőleg azonban nem ez lesz a helyzet. Ekkor eszembe jutott, hogy egy IP-ről csak egy kérést engedélyezek egy időben, de ebben az esetben meg a proxy mögött levők szívják meg. Sajnos eddig jutottam! Volna-e valami ötletetek, amivel mindenki jól jár kivéve a támadókat?
MinőségiWeb találkozó
A tavalyi október 15-én rendezett Online Marketing Expón zajlott felmérés tanúsága szerint a hazai kis- és középvállalkozások webes jelenléte nemcsak a lehetőségeknek, de saját igényeiknek is jóval alatta marad.
Az áldatlan állapotok felszámolása jegyében az Informatikai, Távközlési és Elektronikai Vállalkozások Szövetsége és a Microsoft Magyarország MinőségiWeb című konferenciát szervez 2011. szeptember 8-án 12.45-től a Graphisoft Parkban, melynek célja a vállalkozói oldalról a felvilágosító, fejlesztői oldalról pedig az előbbiek eligazodását segítő egységes kritériumrendszerhez vezető munka megkezdése. Az eseményen a részvétel ingyenes, ám regisztrációhoz kötött.
A témában az októberi Web Konferencián a jelentés készítői tartanak előadást.
■PHP keretrendszer névterek nélkül?
Sziasztok,
az a problémám, hogy van egy fejlesztés alatt álló PHP keretrendszerem, és nem tudom eldönteni, hogy használjak-e benne névtereket, vagy rendben van a Nagyon_Hosszú_Osztály_Név. Jelenleg nincsenek névterek, és nekem teljesen megfelel így is, viszont pár hónapon belül szeretném publikálni a rendszert, és nem tudom, hogy másoknak mi lenne a jó. Már több ismerőst megkérdeztem, de igazából ők se tudtak választ adni, ezért gondoltam, hogy nyitok itt egy fórumtémát.
Ami a névterek mellett szól, hogy minden új keretrendszer használja, így lassan már standardnak tekinthető.
Ami ellene szól:
Szerintetek?
■ az a problémám, hogy van egy fejlesztés alatt álló PHP keretrendszerem, és nem tudom eldönteni, hogy használjak-e benne névtereket, vagy rendben van a Nagyon_Hosszú_Osztály_Név. Jelenleg nincsenek névterek, és nekem teljesen megfelel így is, viszont pár hónapon belül szeretném publikálni a rendszert, és nem tudom, hogy másoknak mi lenne a jó. Már több ismerőst megkérdeztem, de igazából ők se tudtak választ adni, ezért gondoltam, hogy nyitok itt egy fórumtémát.
Ami a névterek mellett szól, hogy minden új keretrendszer használja, így lassan már standardnak tekinthető.
Ami ellene szól:
- mivel a java-hoz hasonló névtér-szintű láthatóság PHP-ben nincs, ezért tényleg csak annyi értelmük van, hogy megkímélnek a Nagyon_Hosszú_Osztály_Nevek gépelésétől
- sokan nem szeretik a \ szintaxist
- a keretrendszerem Kohana-ra épül, ami nem használ névtereket, és egyelőre nem is tervezik a bevezetésüket
- ugrana a PHP 5.2 támogatása a rendszernek (mondjuk ez a legkevésbé fontos)
Szerintetek?
Future of editing on the web
Tartalomszerkesztés, kijelölés, vágólapkezelés, gyorsbillentyűk, beviteli módok, helyesírás-ellenőrzés és vissza-újra
■ Sublime Text 2 Tips and Tricks
A Sublime Text 2 platformfüggetlen editor trükkjei
■ MongoDB: hivatkozás egy GridFS-ben tárolt fájlra
Fájlokra hivatkozás MongoDB-ben
■