Geers

Geers
Рейтинг
487
Регистрация
12.04.2011
DetectIV:
Так я ведь говорю: если использоваться будет ботнет, а не один бот, тысячи IP-шников...

Мне именно в этом видится сложность такой защиты. Как понять с какого айпи заходит настоящий Навальный чтобы его не заблочить? Вдруг он в командировку в Таиланд поехал...

Я думаю работает это так, я немогу знать точной брут-защиты, но суть работы понимаю.

Пусть будет и тысячу ip, там важна скорость подбора.

Да и думаю как-то определяют они что вводит не человек.

Года 2 назад я экспериментировал с брутом на майл.ру, создал почту, и не подбором комбинаций паролей, а подбором уже готовых паролей, сделал список, реальный пароль поставил в самый конец, было примерно 60 паролей, он даже не дошел до конца, выкинуло. )

DetectIV:
Я именно по этой фразе спросил: если кто-то организует через ботнет подбор паролей к ящику Навального, то каким образом сам Навальный сможет зайти на свой ящик? Ведь его примут за бота и не дадут что-либо ввести?

IP брут-бота будет заблочен, Навальского нет, все очень просто. :)

Там сидят толковые кодеры, и не думаю что при разработке брут-защиты они не учли такой нюанс.

Okzay:
Ставлю параметр на id="loading-layer":
А если проинспектировать оперой, то выдаёт такие коды:

Этот код не может просто так появится, и тем более опера вписать. Покажите сайт.

hronos1975:
Мой вам совет зайдите на http://www.mastercity.ru там людей которые занимаются строительством много.Здесь я думаю вы не по адресу с этой темой.

Почему не найдет? найдет, тут уйма проктологов, гинекологов, и строителей в том числе. ;)

easywind:
дивовая верстка грузится блоками например 20 блоков на странице из них загрузилось 10 и их сразу уже видно, а таблица пока вся не загрузится будет пустой лист.

Что? 😮

Можете это фактами подтвердить?

DetectIV:
То есть можно, например, зная адрес Навального и брутя его сутки напролет, полностью запретить ему возможность использования почтой?

Вы точно знаете что такое брут? и можете его отличить от ручного потбора паролей?

---------- Добавлено 14.01.2013 в 07:56 ----------

DetectIV:
То есть можно, например, зная адрес Навального и брутя его сутки напролет, полностью запретить ему возможность использования почтой?

Вот кстати ответ на ваш вопрос:

Лучший, хотя и более сложный метод – progressive delays (прогрессивные задержки). Суть его в том, что учетные записи блокируются на некоторое время после нескольких неудачных попыток входа. Время блокировки возрастает с каждой новой неудачной попыткой. Это защищает от автоматизированных средств, проводящих brute-force attack, и фактически делает нецелесообразным проведение данных атак.

Теперь что такое брут:

Brute-force login attack является наиболее распространённой (и наименее изощренными) атакой, используемой против веб-приложений. Цель данной атаки – получить доступ к аккаунтам пользователей путем многократных попыток угадать пароль пользователя или группы пользователей. Если веб-приложения не имеют никаких защитных мер против этого типа атак, то злоумышленнику довольно просто взломать систему, основанную на парольной аутентификации, осуществив сотню попыток ввода пароля с помощью автоматизированных программок, легкодоступных в Интернете.

Теперь объясню от себя, как работают почти 99% серьезных сайтов от защиты от брута, особенно почтовики.

При ручном подборе, хоть мильён раз ошибусь, ничего не будет, по крайней мере я так думаю, не проверял.

Брут потбирает около 100 паролей в секунду, для человеческих пальчиков это не возможно, сами понимаете.

И везде почти стоит предел, точно не могу сказать, но думаю 1-2 пароля в секунду. Или не более 30 в минуту например.

Вообще какая защита стоит от брута знают только кодеры которые их разрабатывали.

Зачем делать на чистом html? и усложнять себе работу в дальнейшем, если есть много отличных cms.

ШеЛеСт:
Там пофиг. Стоит как кремень, ибо девочки с татухами на пояснице умеют всё делать правильно 🤪

Это очень правильное замечание.

Девушки, у которых на пояснице или чуть выше лобка есть татушки, в сексе просто львицы. 🙄

vilisan2:
Пытаюсь понять, кто *******, вы или opmyukka. opmyukka мне продал точно такой же сайт! Фон, структура, блоки, сервисы. Я негодую.))

---------- Добавлено 14.01.2013 в 03:47 ----------

Или вы друзья-партнеры?))

Дайте линк на сайт глянуть, мне дизайн тоже очень знакомым показался. :)

Особенно фон.

DetectIV:
Откуда я знаю по какому, я такие условия, как ТС написал, никогда не ставил пользователям :)

Кстати, по теме вопрос, что будет если 50 раз вводить? Блокируют? То есть любого пользователя можно заблокировать так?

Везде по разному, обычно доступ закрывают на ввод, например на пол часа.

---------- Добавлено 14.01.2013 в 05:01 ----------

motoman:
Чтобы проверить даты рождения, имена, фамилии, ники и их вариации хватает :)

Это не брут, это ручной подбор паролей. :)

Всего: 13009