Последние комментарии
Для меня эта страница - это удобный способ смотреть, что нового происходит в комментариях и сразу находить заметку, не заходя в админку. Думаю, она будет полезна и тебе.
Evilgen
Транзакции за последние 3 дня не показываются, но эта сумма обозначена как "заблокированные средства". (Hold money, Locked cash, как там по-вашему))
Михаил Фленов
Такое у клиента было реализовано, но оно не помогает по одной простой причине - каждый аккаунт проверялся ровно один раз.
Допустим, хакеры взломали какой-нибудь популярный форум и получили базу:
john@email.com,mycoolpass1
anotheraccount@email.com,password
onemore@hotmail.com,qwer1234
Все аккаунты уникальны и для каждого есть пароль для взломанного форума. Теперь хакеры берут и прогоняют этих пользователей, например, на сайте амазона. Если у амазона нет никакой защиты, то вполне вероятно, что какой-то из пользователей зарегистрировался на форуме и амазоне с одним и тем же email и паролем.
Данные, которые я анализировал показали, что хакеры протестировали около миллиона аккаунтов и каждый проверяли только по разику. В результате нашли несколько тысяч аккаунтов.
Евгений
А если блокировать не по IP, а по аккаунтам? Если допустим в течение 10 сек. для аккаунта более 3-х неудачных попыток входа, то блокировать на сутки, а потом попросить ответить на вопрос для восстановления доступа со сменой пароля? В каком случае капча эффективна? Её, тем не менее, широко используют.
dbat
Я рекомендовал тебе почти сразу как они появились. Признание пришло к Айпэду не сразу, сегодня конечно уже никто не вспомнит, но была куча обзоров "специалистов" на фига нужен этот Айпэд?!
Сегодня отрицать необходимость планшета будет только идиот. Ну а Айпэд лучший из всех планшетов. Теперь нужно спрашивать какой Айпэд лучше и удобнее - большой или мини ?
Михаил Фленов
4 года назад, перед тем как переехал в Канаду. После этого я Delphi вообще не видел
gejzenbug
И как давно вы писали программы на делфи? Когда в последний раз "разчехляли"? =)
Михаил Фленов
1. При наличии 10-ка IP перебор будет медленным, но все еще возможным
2. При блокировке доступа по IP будут страдать легальные пользователи, которые пользуются Opera или другими браузерами, но идут через прокси.
3. Стоимость распознавания каптчи - копейки
Так что проблема не решается, а жизнь пользователям усложняется. Замедление - не является решением проблемы. Лучше уж усложнить жизнь, но реально решить проблему:
1. После входа попросить ответить на вопрос безопасности или ввести уникальный код, который отправляется по email или sms.
2. Если пользователь доверяет компьютеру, то он может попросить доверения и на компьютере будет сохранена кука, чтобы не спрашивать дополнительного фактора в будущем. Больше у пользователя неудобств не будет.
В этом случае подбор по словарю практически невозможен. Хакеру нужно будет иметь не только имя/пароль, но и ответы на вопросы безопасности или того хуже - доступ к e-mail или мобильному
Евгений
Ну если произошел всплеск попыток входа на сайт, почему бы не использовать Captch'у и блокировку доступа при нескольких неудачных попытках входа на длительное время с последующим восстановлением доступа через телефон например? Ведь это в разы увеличит время перебора, а то и совсем это исключит.
ruru
Спасибо за ответ. Живут же люди за бугром. Желаю вам и вашей семьей такой же купить. Пусть у вас все будет хорошо.
О блоге
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2025 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.
Ольга
мне нужно вскрыть пароль у парня в приложении вдруг вокруг