Zabezpečení přihlášení proti brute-force útoku – captcha
- uncanny
- Člen | 19
Ahoj,
chtěl bych zabezpečit přihlášení proti brute-force útoku. Nechci
uživatelům zamykat účty nebo blokovat ip adresy. Napadla mě proto captcha (mám ji
implementovanou i jinde, takže vím, jak se s ní pracuje – mimochodem
funguje zatím bezchybně), která by se měla aktivovat po x neúspěšných
pokusech o přihlášení.
Napadlo mě se po odeslání formuláře dotázat ajaxem do db na počet
neúspěšných pokusů. Zvýším počet o jedna a pokud se rovná x, tak
vykreslím captcha. Je to správné řešení?
- jiri.pudil
- Nette Blogger | 1029
Nepletl bych do toho zbytečně ajaxové dotazy; pokud ti ten formulář vykresluje server, může ti ho po x pokusech poslat do prohlížeče rovnou už s captchou :) ta navíc bude součástí definice formuláře, čímž ti odpadnou další potenciální problémy
A nezapomeň ten počet po úspěšném přihlášení vynulovat :D
- GEpic
- Člen | 566
Mám otestováno – https://github.com/…ptchaControl
Otravuje mě opisovat kódy mnohdy šifrované i pro uživatele… :D
