Basma Posted November 28, 2010 Report Share Posted November 28, 2010 Sveiki, ir tāda problēma, vajaga lietotāju nobloķet uz pāris minutēm pēc piemēram trīs reizēm nepareizi ievadītu paroli, kā Jūs tiekat galā? Kādi ir labāki un ieteicamākie varianti? Quote Link to comment Share on other sites More sharing options...
daGrevis Posted November 28, 2010 Report Share Posted November 28, 2010 [*] Ja ir neveiksmīgs mēģinājums ielogoties, tad saglabājam sesijā +1. [*] Ja sesijā jau ir 3 neveiksmīgi mēģinājumi, tad saglabājam attiecīgo IP datubāzē. [*] Katrā lapā ievietojam pārbaudi, vai tāda IP jau nav saglabāta, ja ir, tad exit(). Ar to, ka pēc piecām minūtēm izdzēšas sesija par neveiksmīgajiem mēģinājumiem... Pie IP saglabāšanas pievienojam laiku. Un tad, ka lietotājs vērs vaļā lapu, ja tomēr izrādās, ka IP ir banota, arī lai pārbauda laiku, t.i. salīdzina ar pašreizējo. Ja intervāls ir lielāks par 5 minūtēm, piemēram, tad IP tiek izdzēsta no datubāzes un lietotājs tiek klāt lapai. =) Quote Link to comment Share on other sites More sharing options...
Rincewind Posted November 28, 2010 Report Share Posted November 28, 2010 Man liekas ka 3 ir par maz, tik reizes var nokļūdīties arī labs lietotājs kurš ikdienā izmanto vairākas paroles. Es liktu vismaz 10, drošība no tā nekādi neciestu. Quote Link to comment Share on other sites More sharing options...
Basma Posted November 28, 2010 Author Report Share Posted November 28, 2010 Rincewind te nav tieši runa par trijām reizēm vienkārši gribu izsprast pašu jēgu! daGrevis Varbūt ir iespēja kaut kā izveidot ciklu kas skaita līdz 5 un IP bļokē? Quote Link to comment Share on other sites More sharing options...
daGrevis Posted November 28, 2010 Report Share Posted November 28, 2010 Nedomāju, ka var. Nevajag. Quote Link to comment Share on other sites More sharing options...
Basma Posted November 28, 2010 Author Report Share Posted November 28, 2010 daGrevis Skaidrs! Quote Link to comment Share on other sites More sharing options...
Grey_Wolf Posted November 28, 2010 Report Share Posted November 28, 2010 Un ko dariisi r lietotajiem kas apmekle tavu lapu no vienas firmas ? uz viens IP var buut arii 50 useri .. Kautvai skoleni no datorklases .. -- Nav prata darbs blokjeet IP, jo: 1. var but vairaki netkariigi useri (vai buus forshi ja noblokjesi I-kafee, vai skols datorklasi? ) 2. Dinamiskas IP ( Lattelekom) ( ko dariit ja man dinamiski iedala blokjetu IP ? ) 3. Ir arii proxi, kur pietiekmi gudrs useris izmantos ( shis vispar bez komentariem ) 4. Useris var slekties klat arii no netkarigiem kompjiem (dazadam IP ) majas, darbs , I-kaffe, draugi ( forshi aizej pie drauga un noblojee vinja IP ;) ) -- Risinajums kad buutu jablokee IP ir tikai tad ja no vienas IP tiek ilgaku-isaku laiku strdats cuuciibas.. -- Krietni labak ir noblojet pashu Useri (usera ID) Vienkarshi pie usera datiem pieliec laucinju blokjets liidz (datums UNIX formta) ja skaitlis ==0 nav blokjets ja lielaks pr 0 bet mazaks par ierkstiito (vel nav pagajis laiks) -> blokjets --- Piedevam par taam 3 neveiksmiigam parolem -> nesi jau banka naaf nevajag. Labak uzliec ka nakamais megjinjums (ja bijusi neveiksme) peec 10-20 sek , tas neljaus (pamatiigi trauces) bootiem megjinat uzlauzt Quote Link to comment Share on other sites More sharing options...
daGrevis Posted November 28, 2010 Report Share Posted November 28, 2010 Grey_Wolf, zelta vārdi. =) Neko pielikt, neko atņemt. =) Quote Link to comment Share on other sites More sharing options...
Kavacky Posted November 28, 2010 Report Share Posted November 28, 2010 Vienkarshi pie usera datiem pieliec laucinju blokjets liidz (datums UNIX formta)ja skaitlis ==0 nav blokjets ja lielaks pr 0 bet mazaks par ierkstiito (vel nav pagajis laiks) -> blokjets Vienkāršāk: if blokets_lidz > time() then banned. Quote Link to comment Share on other sites More sharing options...
Basma Posted November 28, 2010 Author Report Share Posted November 28, 2010 Grey_Wolf Paldies tiešām viss skaidrs! Quote Link to comment Share on other sites More sharing options...
Maris-S Posted November 29, 2010 Report Share Posted November 29, 2010 Vēl iedomājos par to ka nevajadzētu izmantot sesiju neveiksmīgu loginu skaitīšanai. Piekrītu ka jābloķē nevis ip, bet lietotājs. Ja kāds salīdzinoši gudrāks bots mēģinās piemeklēt paroli, tad sesijas skaitītāju viņš salīdzinoši viegli noņems. Ja bloķēšana tiek veikta lietotājam, tad skaitītāju labāk likt datubāzē. Quote Link to comment Share on other sites More sharing options...
daGrevis Posted November 29, 2010 Report Share Posted November 29, 2010 Kā šams varēs sesiju skaitītāju noņemt?? O.o Quote Link to comment Share on other sites More sharing options...
Rincewind Posted November 29, 2010 Report Share Posted November 29, 2010 Kā šams varēs sesiju skaitītāju noņemt?? O.o Mierīgi. Sessijas identifikators ir vai nu cookie uz lietotāja datora, vai nu session-id pievienots adresei ja cookies ir atslēgti. Tā ka lietotāja galā ir pilna kontrole par sessijas identifikatoru, var dzēst, var mainīt. Quote Link to comment Share on other sites More sharing options...
Grey_Wolf Posted November 30, 2010 Report Share Posted November 30, 2010 Ja kāds salīdzinoši gudrāks bots mēģinās piemeklēt paroli, tad sesijas skaitītāju viņš salīdzinoši viegli noņems. Starp citu jau mineju ka vienk. jauzliek 10-20 sek pauze .. viss Bots uzkrsies ... Quote Link to comment Share on other sites More sharing options...
codez Posted November 30, 2010 Report Share Posted November 30, 2010 Starp citu jau mineju ka vienk. jauzliek 10-20 sek pauze .. viss Bots uzkrsies ... Visiem pie ielogošanās 10-20 sekunžu pauze? Kā tad atšķirs botu no pārējiem? Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.