Ir para o conteúdo
  • Revista PROGRAMAR: Já está disponível a edição #57 da revista programar. Faz já o download aqui!

nram

Login Anti Brute Force

Mensagens Recomendadas

pedrotuga    31
pedrotuga

É uma coisa que nunca fiz, mas de rajada, o que eu faria era umplementar um limite de frequencia temporal de tentativas.

Penso que mais vale deixar isso para o apache ( ou outro servidor web ) pois já tem mecanismos para lidar precisamente com essas situações, e podes deixar o teu código php mais limpinho e versátil.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
nram    0
nram

sim... eu pensei nisso do limite do tempo...

pois, apache, mas ele por si nao vai fazer nada... se eu fizer brute force á pagina de login, ele nao vai fazer nada... (acho eu)

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
pedrotuga    31
pedrotuga

sim... eu pensei nisso do limite do tempo...

pois, apache, mas ele por si nao vai fazer nada... se eu fizer brute force á pagina de login, ele nao vai fazer nada... (acho eu)

Eu não tenho muito experiencia em configurações e módulos do apache, mas penso que te permite fazer precisamente isso, limitar o numero de pedidos no dominio do tempo, do ip, da directoria, do tipo de ficheiros, etc.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
magician    2
magician

Tens outra forma de fazer que é como muitos sites fazer fazes uma contagem de passwords erradas por IP ao errar tipo 3 vezes bloqueia o IP por determinado tempo.

É verdade que podem depois usar proxys ou renovar o IP mas já dá mais algum trabalho, podes depois também fazer tipo aos 10 login errados para 1 utilizador a conta é bloqueada e envia um email para o user a avisar do acontecido e como desbloquear.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
softklin    12
softklin

Tens outra forma de fazer que é como muitos sites fazer fazes uma contagem de passwords erradas por IP ao errar tipo 3 vezes bloqueia o IP por determinado tempo.

É verdade que podem depois usar proxys ou renovar o IP mas já dá mais algum trabalho, podes depois também fazer tipo aos 10 login errados para 1 utilizador a conta é bloqueada e envia um email para o user a avisar do acontecido e como desbloquear.

Concordo com a primeira, até já a vi ser aplicada em muitas páginas. Agora a 2ª pode tornar-se frustante para o utilizador, e até ser motivo para brincadeiras de mau gosto se me percebem (bloquearem a conta de outra pessoa constantemente).

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
softklin    12
softklin

Se no mail enviares um link para o desbloqueio directo não vejo nada de mais

Sim, isso tudo bem, mas imagina que tens uma conta e eu sei que esse sistema está implementado. Se eu quiser bloquear-te a conta, erro o login 10 vezes, ok, recebes o mail e desbloqueias. Agora imagina isto repetir-se sem fim... logo no minuto a seguir ja te bloqueei a conta outra vez...

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
magician    2
magician

Tão mas por isso é que sugeri esta implementação juntamente com a outra do bloquear IP,, bloqueia o IP aos 5 e aos 10  bloqueia a conta e o IP.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
softklin    12
softklin

Tão mas por isso é que sugeri esta implementação juntamente com a outra do bloquear IP,, bloqueia o IP aos 5 e aos 10  bloqueia a conta e o IP.

Ah, ok, pensei que eram duas soluções distintas... Sim, dessa forma é mais eficaz realmente..  :P

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
nram    0
nram

o motivo disto... digamos que é para nenhum aluno espertinho lá da minha escola nao andar a brincar com uma aplicaçao que estou a fazer para o Centro de aprendizagem da Escola.... Que akilo só vai ter mesmo acesso a admin para adicionar, remover, requisiçoes e assim, na parte de manuais escolares etc... mas é sempre bom nao andarem a estragar as coisas.. (e penso que aquele servidor onde vou alojar na escola nao tem acesso á internet, mas tem acesso á rede da escola. )

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
djthyrax    11
djthyrax

Porque nao usas simplesmente um link estatico tipo localhost/admin/login.php

assim só quem sabe o link pode aceder.

Sim, e esse URI não é óbvio nem nada...

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
magician    2
magician

Porque nao usas simplesmente um link estatico tipo localhost/admin/login.php

assim só quem sabe o link pode aceder.

Sim, e esse URI não é óbvio nem nada...

Era um exemplo como é óbvio não seria algo tão directo.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
djthyrax    11
djthyrax

sim.. vou usar isso.. e que adianta?? nao podem na mesma descobrir o link? e explorar...

Podem, mas nada é impossível de ultrapassar, mas o factor psicológico é bastante importante, e quanto mais difícil for a tarefa, mais tempo tens para detectar as tentativas e poderes apanhar o bife.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
pedrotuga    31
pedrotuga

Aquela de ao fim de x tentativas erradas por um determinado ip banires esse ip por uma hora... parece-me uma boa protecção.

O uso de proxies acaba por nao resolver o problema porque estão sujeitos a mesma restrição.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
infopc    0
infopc

Porque nao usas simplesmente um link estatico tipo localhost/admin/login.php

assim só quem sabe o link pode aceder.

Sim, e esse URI não é óbvio nem nada...

Bem eu não te conheço de lado nenhum, mas pela tua pinta e pelas respostas, hummmmm..............................

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
djthyrax    11
djthyrax

Porque nao usas simplesmente um link estatico tipo localhost/admin/login.php

assim só quem sabe o link pode aceder.

Sim, e esse URI não é óbvio nem nada...

Bem eu não te conheço de lado nenhum, mas pela tua pinta e pelas respostas, hummmmm..............................

Sim...? Apenas foi irónico naquele post. :P

Anyway, o que quis dizer é que URIs do género /admin/ são demasiado óbvios. Mais vale algo tipo /oHeckelEhUmBacano/

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora


×

Aviso Sobre Cookies

Ao usar este site você aceita a nossa Política de Privacidade