Archívum - Szep 3, 2011 - Fórum téma
Brute-force elleni védekezés
Sziasztok!
Éppen egy login rendszert rakok össze, működik is szépen, viszont jó fejlesztőként gondolnom kell a kevésbé jóakaratú felhasználókra is, akik tesztelni fogják a rendszert, úgy hogy ráengednek pl. pár ezer request-et. Abban az esetben, ha jó felhasználónevet, de rossz jelszót ad meg a bejelentkezni kívánó user, a próbálkozást letárolom és 5 rossz próbálkozás után fél óráig nem engedem próbálkozni. Mit gondoltok, van-e hátulütője ennek a módszernek? Abban az esetben, ha viszont mindkét adat helytelen egy olyan megoldásra jutottam, hogy a válasz visszaadását késleltetem egy másodperccel (sleep-el). Ez azonban addig megoldás csak, amíg aszinkron lekéréseket csinál a user. Feltehetőleg azonban nem ez lesz a helyzet. Ekkor eszembe jutott, hogy egy IP-ről csak egy kérést engedélyezek egy időben, de ebben az esetben meg a proxy mögött levők szívják meg. Sajnos eddig jutottam! Volna-e valami ötletetek, amivel mindenki jól jár kivéve a támadókat?
■ Éppen egy login rendszert rakok össze, működik is szépen, viszont jó fejlesztőként gondolnom kell a kevésbé jóakaratú felhasználókra is, akik tesztelni fogják a rendszert, úgy hogy ráengednek pl. pár ezer request-et. Abban az esetben, ha jó felhasználónevet, de rossz jelszót ad meg a bejelentkezni kívánó user, a próbálkozást letárolom és 5 rossz próbálkozás után fél óráig nem engedem próbálkozni. Mit gondoltok, van-e hátulütője ennek a módszernek? Abban az esetben, ha viszont mindkét adat helytelen egy olyan megoldásra jutottam, hogy a válasz visszaadását késleltetem egy másodperccel (sleep-el). Ez azonban addig megoldás csak, amíg aszinkron lekéréseket csinál a user. Feltehetőleg azonban nem ez lesz a helyzet. Ekkor eszembe jutott, hogy egy IP-ről csak egy kérést engedélyezek egy időben, de ebben az esetben meg a proxy mögött levők szívják meg. Sajnos eddig jutottam! Volna-e valami ötletetek, amivel mindenki jól jár kivéve a támadókat?
PHP keretrendszer névterek nélkül?
Sziasztok,
az a problémám, hogy van egy fejlesztés alatt álló PHP keretrendszerem, és nem tudom eldönteni, hogy használjak-e benne névtereket, vagy rendben van a Nagyon_Hosszú_Osztály_Név. Jelenleg nincsenek névterek, és nekem teljesen megfelel így is, viszont pár hónapon belül szeretném publikálni a rendszert, és nem tudom, hogy másoknak mi lenne a jó. Már több ismerőst megkérdeztem, de igazából ők se tudtak választ adni, ezért gondoltam, hogy nyitok itt egy fórumtémát.
Ami a névterek mellett szól, hogy minden új keretrendszer használja, így lassan már standardnak tekinthető.
Ami ellene szól:
Szerintetek?
■ az a problémám, hogy van egy fejlesztés alatt álló PHP keretrendszerem, és nem tudom eldönteni, hogy használjak-e benne névtereket, vagy rendben van a Nagyon_Hosszú_Osztály_Név. Jelenleg nincsenek névterek, és nekem teljesen megfelel így is, viszont pár hónapon belül szeretném publikálni a rendszert, és nem tudom, hogy másoknak mi lenne a jó. Már több ismerőst megkérdeztem, de igazából ők se tudtak választ adni, ezért gondoltam, hogy nyitok itt egy fórumtémát.
Ami a névterek mellett szól, hogy minden új keretrendszer használja, így lassan már standardnak tekinthető.
Ami ellene szól:
- mivel a java-hoz hasonló névtér-szintű láthatóság PHP-ben nincs, ezért tényleg csak annyi értelmük van, hogy megkímélnek a Nagyon_Hosszú_Osztály_Nevek gépelésétől
- sokan nem szeretik a \ szintaxist
- a keretrendszerem Kohana-ra épül, ami nem használ névtereket, és egyelőre nem is tervezik a bevezetésüket
- ugrana a PHP 5.2 támogatása a rendszernek (mondjuk ez a legkevésbé fontos)
Szerintetek?
