IP blokēšana

[Basma]

Sveiki, ir tāda problēma, vajaga lietotāju nobloķet uz pāris minutēm pēc piemēram trīs reizēm nepareizi ievadītu paroli, kā Jūs tiekat galā? Kādi ir labāki un ieteicamākie varianti?

[daGrevis]

[*] Ja ir neveiksmīgs mēģinājums ielogoties, tad saglabājam sesijā +1.

[*] Ja sesijā jau ir 3 neveiksmīgi mēģinājumi, tad saglabājam attiecīgo IP datubāzē.

[*] Katrā lapā ievietojam pārbaudi, vai tāda IP jau nav saglabāta, ja ir, tad exit().

 

Ar to, ka pēc piecām minūtēm izdzēšas sesija par neveiksmīgajiem mēģinājumiem... Pie IP saglabāšanas pievienojam laiku. Un tad, ka lietotājs vērs vaļā lapu, ja tomēr izrādās, ka IP ir banota, arī lai pārbauda laiku, t.i. salīdzina ar pašreizējo. Ja intervāls ir lielāks par 5 minūtēm, piemēram, tad IP tiek izdzēsta no datubāzes un lietotājs tiek klāt lapai. =)

[Rincewind]

Man liekas ka 3 ir par maz, tik reizes var nokļūdīties arī labs lietotājs kurš ikdienā izmanto vairākas paroles. Es liktu vismaz 10, drošība no tā nekādi neciestu.

[Basma]

Rincewind te nav tieši runa par trijām reizēm vienkārši gribu izsprast pašu jēgu!

daGrevis

Varbūt ir iespēja kaut kā izveidot ciklu kas skaita līdz 5 un IP bļokē?

[daGrevis]

Nedomāju, ka var. Nevajag.

[Basma]

daGrevis

Skaidrs!

[Grey_Wolf]

Un ko dariisi r lietotajiem kas apmekle tavu lapu no vienas firmas ?

uz viens IP var buut arii 50 useri ..

Kautvai skoleni no datorklases ..

--

Nav prata darbs blokjeet IP, jo:

1. var but vairaki netkariigi useri (vai buus forshi ja noblokjesi I-kafee, vai skols datorklasi? )

2. Dinamiskas IP ( Lattelekom) ( ko dariit ja man dinamiski iedala blokjetu IP ? )

3. Ir arii proxi, kur pietiekmi gudrs useris izmantos ( shis vispar bez komentariem )

4. Useris var slekties klat arii no netkarigiem kompjiem (dazadam IP ) majas, darbs , I-kaffe, draugi ( forshi aizej pie drauga un noblojee vinja IP ;) )

--

Risinajums kad buutu jablokee IP ir tikai tad ja no vienas IP tiek ilgaku-isaku laiku strdats cuuciibas..

--

Krietni labak ir noblojet pashu Useri (usera ID)

Vienkarshi pie usera datiem pieliec laucinju blokjets liidz (datums UNIX formta)

ja skaitlis ==0 nav blokjets

ja lielaks pr 0 bet mazaks par ierkstiito (vel nav pagajis laiks) -> blokjets

---

Piedevam par taam 3 neveiksmiigam parolem -> nesi jau banka naaf nevajag.

Labak uzliec ka nakamais megjinjums (ja bijusi neveiksme) peec 10-20 sek , tas neljaus (pamatiigi trauces) bootiem megjinat uzlauzt

[daGrevis]

Grey_Wolf, zelta vārdi. =) Neko pielikt, neko atņemt. =)

[Kavacky]

Vienkarshi pie usera datiem pieliec laucinju blokjets liidz (datums UNIX formta)

ja skaitlis ==0 nav blokjets

ja lielaks pr 0 bet mazaks par ierkstiito (vel nav pagajis laiks) -> blokjets

Vienkāršāk: if blokets_lidz > time() then banned.

[Basma]

Grey_Wolf

Paldies tiešām viss skaidrs!

[Maris-S]

Vēl iedomājos par to ka nevajadzētu izmantot sesiju neveiksmīgu loginu skaitīšanai. Piekrītu ka jābloķē nevis ip, bet lietotājs. Ja kāds salīdzinoši gudrāks bots mēģinās piemeklēt paroli, tad sesijas skaitītāju viņš salīdzinoši viegli noņems. Ja bloķēšana tiek veikta lietotājam, tad skaitītāju labāk likt datubāzē.

[daGrevis]

Kā šams varēs sesiju skaitītāju noņemt?? O.o

[Rincewind]

Kā šams varēs sesiju skaitītāju noņemt?? O.o

Mierīgi.

Sessijas identifikators ir vai nu cookie uz lietotāja datora, vai nu session-id pievienots adresei ja cookies ir atslēgti. Tā ka lietotāja galā ir pilna kontrole par sessijas identifikatoru, var dzēst, var mainīt.

[Grey_Wolf]

Ja kāds salīdzinoši gudrāks bots mēģinās piemeklēt paroli, tad sesijas skaitītāju viņš salīdzinoši viegli noņems.

Starp citu jau mineju ka vienk. jauzliek 10-20 sek pauze .. viss Bots uzkrsies ...

[codez]

Starp citu jau mineju ka vienk. jauzliek 10-20 sek pauze .. viss Bots uzkrsies ...

 

Visiem pie ielogošanās 10-20 sekunžu pauze?

Kā tad atšķirs botu no pārējiem?