Защита от брута

1. Александр (05.07.2012 / 11:49)
собственно такой вопрос. Будет ли эфективна защита, если на странице входа я создаю и посылаю кукис пользователю, а в файле авторизации проверяю его наличие?если кукис присутствует продолжается авторизация, а если нет - лесом через header().
работают ли бруты с куками? или может есть более эффективное средство?
так же стоит переменная сессии, которая содержит число неправильных попыток авторизации и при превышении 5попыток не позволяет продолжить определенное время

2. николай (05.07.2012 / 11:53)
капча чем не устраивает?

3. Александр (05.07.2012 / 11:54)
2. bygoodvin, каптча это крайний случай уже.

4. Александр (05.07.2012 / 12:01)
2 тема подряд?

5. Александр (05.07.2012 / 12:05)
4. sasha100q, при создании темы затупил сайт. случайно создал вторую

6. iNeeXT (05.07.2012 / 12:10)
Капча и только капча.

7. Александр (05.07.2012 / 12:34)
почему бы не блокировать пользователя на время после нескольких попыток?

8. Zдешний (05.07.2012 / 13:34)
капчей же проще

9. Петр (05.07.2012 / 14:53)
Скорее всего, я что-то не так понял, но разве это защита? Что мешает самому установить себе cookie или начать новую сессию? Если ограничивать число авторизаций, то, на мой взгляд, данные лучше хранить в бд.

10. Александр (05.07.2012 / 15:12)
9. Im-ieee, я поэтому и спрашиваю как лучше. Я не знаком с брутом и не знаю как он работает с сессиями и куками.

11. Александр (05.07.2012 / 15:57)
10, просто куча запросов с попытками авторизации.
Проверяй сколько попыток авторизации сделал ip, если больше 10, блокировка на 5 мин, после каждых 10 попыток увеличивай время блокировки, было 3 блокировки за день, то полная блокировка. Если будут запросы с нескольких ip и суммарное количество попыток авторизации под каким то пользователем было больше 30, то тогда блокируй все попытки авторизоваться на сутки, + для новых ip которые ещё не прибывали авторизоваться оставляешь по 3 попытки, что бы пользователю не приходилось ждать если даже если его брутят со 100 прокси. А ещё лучше не выводить сообщение о том что попытки кончились, а просто писать не верный пароль, тогда брут может пропустить нужный пароль и пройти дальше подбирать. Так же можно определять брут по количеству запросов в секунду.

12. Вусал (16.07.2012 / 23:40)
11. Муз-ТВ, мощьный пост!

URL: https://visavi.net/topics/33026