PHP в деталях
       

Комментарии к статье ""


16.5.2001 12:08  kostysh  []
...это, конечно метод, но как тогда быть с корпоративными юзерами, сидящими в маскарадных сетках?

у них же у вес один IP, хоть даже если их 100, и поллучается, что если среди них затесался

хакерюга и лезет подбирать пароль к тебе на сервер, то после н-ного кол-ва попыток, он

просто напросто отрубит всю свою сетку от доступа к твоему серверу...

я думаю, что здесь нет единого оптимального решения.

того, кто серьезно задумал поломать твой сервис остановить почти невозможно.

для пользователей не-вебовских интерфейсов доступа к сервисам есть одни методы

контроля.. для пользователей именно вэбовских интерфейсов - другие.

я думаю, что розумнее всего контролировать вэбовского юзера с использованием

сессий... в таком случае мы имеем дело с действительно уникальным параметром

- ID сессии... ограничить число попыток входа в систему в рамках одной сессии

это очень простая задача, но расчитывать на то, что хакер будет сидеть за окном

броузера и постить тебе формы с подбором пароля - просто смешно.. скорее всего

это будет специальный софт, который без проблем начнет новую сессию, когда ты



закроешь предудущую... ты с ним в этом случае ничего не сделаешь.

есть один выход - анализ трафика. Что я имею ввиду - а вот что:

необходимо контролировать и анализировать общее количество сессий открытых

в системе с определенного IP, причем не всех сессий а только тех

которые были закрыты по причине ошибок ввода пароля.

необходимо либо на угад, либо опытным путем установить критическое число для

этого случая и только при достижении его, закрывать доступ этому IP в систему.

Анализируя трафик, нужно не забывать о распределении отказов доступа во

определенном временном промежутке, чтобы не перепутать обычный всплеск пользовательской

активности с атакой хакера... короче здесь еще говорить и говорить.

вот, такая получилась маленькая статья. Я, кстати, сейчас работаю именно над

такой системой, если есть желание, можем обсудить возникающие вопросы - если это еще актуально.

------------------------------

mailto:army@mail.od.ua

KOSTYSH
Ответ DL:

Спасибо!
<

Содержание раздела