• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

nram

Login Anti Brute Force

36 mensagens neste tópico

É uma coisa que nunca fiz, mas de rajada, o que eu faria era umplementar um limite de frequencia temporal de tentativas.

Penso que mais vale deixar isso para o apache ( ou outro servidor web ) pois já tem mecanismos para lidar precisamente com essas situações, e podes deixar o teu código php mais limpinho e versátil.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

sim... eu pensei nisso do limite do tempo...

pois, apache, mas ele por si nao vai fazer nada... se eu fizer brute force á pagina de login, ele nao vai fazer nada... (acho eu)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

sim... eu pensei nisso do limite do tempo...

pois, apache, mas ele por si nao vai fazer nada... se eu fizer brute force á pagina de login, ele nao vai fazer nada... (acho eu)

Eu não tenho muito experiencia em configurações e módulos do apache, mas penso que te permite fazer precisamente isso, limitar o numero de pedidos no dominio do tempo, do ip, da directoria, do tipo de ficheiros, etc.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Tens outra forma de fazer que é como muitos sites fazer fazes uma contagem de passwords erradas por IP ao errar tipo 3 vezes bloqueia o IP por determinado tempo.

É verdade que podem depois usar proxys ou renovar o IP mas já dá mais algum trabalho, podes depois também fazer tipo aos 10 login errados para 1 utilizador a conta é bloqueada e envia um email para o user a avisar do acontecido e como desbloquear.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Tens outra forma de fazer que é como muitos sites fazer fazes uma contagem de passwords erradas por IP ao errar tipo 3 vezes bloqueia o IP por determinado tempo.

É verdade que podem depois usar proxys ou renovar o IP mas já dá mais algum trabalho, podes depois também fazer tipo aos 10 login errados para 1 utilizador a conta é bloqueada e envia um email para o user a avisar do acontecido e como desbloquear.

Concordo com a primeira, até já a vi ser aplicada em muitas páginas. Agora a 2ª pode tornar-se frustante para o utilizador, e até ser motivo para brincadeiras de mau gosto se me percebem (bloquearem a conta de outra pessoa constantemente).

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Se no mail enviares um link para o desbloqueio directo não vejo nada de mais

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Se no mail enviares um link para o desbloqueio directo não vejo nada de mais

Sim, isso tudo bem, mas imagina que tens uma conta e eu sei que esse sistema está implementado. Se eu quiser bloquear-te a conta, erro o login 10 vezes, ok, recebes o mail e desbloqueias. Agora imagina isto repetir-se sem fim... logo no minuto a seguir ja te bloqueei a conta outra vez...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Tão mas por isso é que sugeri esta implementação juntamente com a outra do bloquear IP,, bloqueia o IP aos 5 e aos 10  bloqueia a conta e o IP.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Tão mas por isso é que sugeri esta implementação juntamente com a outra do bloquear IP,, bloqueia o IP aos 5 e aos 10  bloqueia a conta e o IP.

Ah, ok, pensei que eram duas soluções distintas... Sim, dessa forma é mais eficaz realmente..  :P

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

o motivo disto... digamos que é para nenhum aluno espertinho lá da minha escola nao andar a brincar com uma aplicaçao que estou a fazer para o Centro de aprendizagem da Escola.... Que akilo só vai ter mesmo acesso a admin para adicionar, remover, requisiçoes e assim, na parte de manuais escolares etc... mas é sempre bom nao andarem a estragar as coisas.. (e penso que aquele servidor onde vou alojar na escola nao tem acesso á internet, mas tem acesso á rede da escola. )

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Porque nao usas simplesmente um link estatico tipo localhost/admin/login.php

assim só quem sabe o link pode aceder.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Porque nao usas simplesmente um link estatico tipo localhost/admin/login.php

assim só quem sabe o link pode aceder.

Sim, e esse URI não é óbvio nem nada...
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Se esse login apenas for efectuado no servidor físico, podes limitar essa página ao localhost...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Porque nao usas simplesmente um link estatico tipo localhost/admin/login.php

assim só quem sabe o link pode aceder.

Sim, e esse URI não é óbvio nem nada...

Era um exemplo como é óbvio não seria algo tão directo.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

sim.. vou usar isso.. e que adianta?? nao podem na mesma descobrir o link? e explorar...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

sim.. vou usar isso.. e que adianta?? nao podem na mesma descobrir o link? e explorar...

Podem, mas nada é impossível de ultrapassar, mas o factor psicológico é bastante importante, e quanto mais difícil for a tarefa, mais tempo tens para detectar as tentativas e poderes apanhar o bife.
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Aquela de ao fim de x tentativas erradas por um determinado ip banires esse ip por uma hora... parece-me uma boa protecção.

O uso de proxies acaba por nao resolver o problema porque estão sujeitos a mesma restrição.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sim, se fizeres um máximo de 5 tentativas, tinha que estar sempre a trocar de proxy...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

como é na escola.. a internet talvez nao haja problem... podia talvez usar um sistema de verificaçao de imagem...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Porque nao usas simplesmente um link estatico tipo localhost/admin/login.php

assim só quem sabe o link pode aceder.

Sim, e esse URI não é óbvio nem nada...

Bem eu não te conheço de lado nenhum, mas pela tua pinta e pelas respostas, hummmmm..............................

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Porque nao usas simplesmente um link estatico tipo localhost/admin/login.php

assim só quem sabe o link pode aceder.

Sim, e esse URI não é óbvio nem nada...

Bem eu não te conheço de lado nenhum, mas pela tua pinta e pelas respostas, hummmmm..............................

Sim...? Apenas foi irónico naquele post. :P

Anyway, o que quis dizer é que URIs do género /admin/ são demasiado óbvios. Mais vale algo tipo /oHeckelEhUmBacano/

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora