הוסטס - פורום אחסון האתרים הגדול בישראל
עמוד 1 מתוך 2 1 2
הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   דיון-אבטחה מפני הצפות (https://hosts.co.il/forums/showthread.php?t=65673)

dabi 28-07-08 20:33
דיון-אבטחה מפני הצפות
 
רציתי לשמוע דעות של אנשים פה איך אתם מגינים מפני הצפות למערכת כמו הרשמה
(כי למערכת תגובות אם אני עושה שרק מי שרשום יכול להגיב זה לא בעיה לחסום זמנית משתמש רשום)
הבעיה היא בהרשמה שהבוט יכול בשניה להציף לי את המערכת ב מיליון הרשמות
כמובן שיש אפשרות עם הקוד אימות GD אבל זה ממש לא נוח ,כי אם הקוד כתוב ברור קל לבוט לזהות אותו,ואם הוא לא כתוב ברור המשתמש מתאמץ ואני לא רוצה את זה

חשבתי על אפשרויות אחרות כמו השוואה בין HTTP_REFERER ל HTTP_HOST-כמובן שזה ניתן לזיוף אבל זה עוזר קצת
עוד אפשרות זה שאלה בעיברית ,מתמטיקה כמו 2+5 והמשתמש צריך לרשום תשובה ,כמובן שיהיו איזה 30 שאלות שונות ואחרי 2-3 פעמים שהוא טועה הוא נחסם(למרות שיש מצב שאפשר לתכנת את הבוט לקרוא את השאלה איכשהו)
אשמח לשמוע על עוד שיטות כי שוב,התמונה הראנדומלית של ה GD מאוד מעיקה

תודה

mlnn 28-07-08 20:37
חבר מביא חבר.


"אימות GD" הכי סביר.

dabi 28-07-08 20:43
מה הכוונה חבר מביא חבר
אבל אימות GD לאנוח כמו שאמרת,הקלים קלים לפיצוח ע"י והקשים מוציאים את העניים

DvirCohen 28-07-08 22:26
אתה יכול לעשות אולי GD אבל להגיד לכתוב למשל קודם כל את התווים במקומות זוגיים ואז את האי זוגיים.

לדוגמא במחרוזת ABCDEF הקוד הנכון הוא BDFACE
או שגם על זה בוט יכול לעלות :\

Striker 28-07-08 22:39
שמע הכל תלוי ברמה של אותו אדם שרוצה להציף אותך.
לדעתי CAPTHA בסיסי יספיק , אתה יכול לצרף חסימה של הרשמה כפולה מאותו IP כדי להקשות על אותו בוט אבל בתכלס אפילו את הCAPTHA של GMAIL הצליחו לפצח חלקית (20% מהנסיונות , אל תטעה זה המון)

daMn 28-07-08 23:25
בדיקה של זמן, בדיוק כמו במערכת הזאת VB.
אם משתמש הגיב לפני X זמן אז אל תתן לו להגיב שוב.
X = מה שאתה רוצה, אני בדר"כ עושה 20 שניות.

רומן 28-07-08 23:47
יש המון סוגים של capch (תמונת אימות) יש דווקא כאלה שמאוד ברורות, וזה הפיתרון הכי טוב,
אתה כמובן יכול לעשות לפי אייפי, שנניח יהיה לו 5 ניסיונות ואז הוא חסום,
אבל הקוד תמונה הכי טוב.

dabi 28-07-08 23:47
ציטוט:
נכתב במקור על ידי daMn (פרסם 654663)
בדיקה של זמן, בדיוק כמו במערכת הזאת VB.
אם משתמש הגיב לפני X זמן אז אל תתן לו להגיב שוב.
X = מה שאתה רוצה, אני בדר"כ עושה 20 שניות.
תקרא בבקשה את ההודעה שרשמתי
ציטוט:
נכתב במקור על ידי dabi (פרסם 654573)
רציתי לשמוע דעות של אנשים פה איך אתם מגינים מפני הצפות למערכת כמו הרשמה
(כי למערכת תגובות אם אני עושה שרק מי שרשום יכול להגיב זה לא בעיה לחסום זמנית משתמש רשום)
להגבה זה לא בעיה
אני מדבר על הרשמה

ציטוט:
נכתב במקור על ידי רומן (פרסם 654669)
יש המון סוגים של capch (תמונת אימות) יש דווקא כאלה שמאוד ברורות, וזה הפיתרון הכי טוב,
אתה כמובן יכול לעשות לפי אייפי, שנניח יהיה לו 5 ניסיונות ואז הוא חסום,
אבל הקוד תמונה הכי טוב.
תראה לי בבקשה קוד מובן ,כי הקודים המובנים בד"כ קל מאוד לעלות עליהם לבוטים

daMn 29-07-08 02:35
ציטוט:
נכתב במקור על ידי dabi (פרסם 654670)
תקרא בבקשה את ההודעה שרשמתי
בעיקרון אפשר לעשות את זה גם איך שאמרתי לך, בדיקה של זמן, אם ניסה להירשם לפני X אל תאפשר הרשמה.
הפתרון הכי טוב להרשמות הוא GD, בגלל שהרשמה היא לא 200 פעם ביום אלא פעם אחת ויחידה למשתמש אין בעיה להקשות קצת בGD למען חסימת בוטים.

kfir91 29-07-08 15:54
בהרשמה אתה יכול לעשות כמו שאני עשיתי במערכת שלי שאתה שומר תאייפי של המשתמש ואם האייפי נרשם בעבר זה מראה שגיאה.


כל הזמנים הם GMT +2. הזמן כעת הוא 13:19.
עמוד 1 מתוך 2 1 2
הצג 40 הודעות באשכול על דף אחד

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ