Эта тема создана в связи с этим вопросом: http://wmmail.ru/index.php?cf=otvet-viewvopros&vid=44314
Кратко: пользователя пытались взломать, но система не блокировала его попытки. За секунду подбиралось несколько паролей, что значит задействование программы.
В связи с этим есть такие предложения:
1) Блокировка по IP на некоторое время при N попытках подобрать пароль.
2) Блокировка не только IP (т.к. его можно легко сменить), но и по браузеру (отправить cookie 'block', например). Если пользователь сменит IP, но куки не удалит, то у него будет сообщение о невозможности ввести логин и пароль N кол-во минут или часов.
3) Вывод капчи при N попытках подобрать пароль.
4) Вывод капчи при вводе логина и пароля всегда.
Для тех, кто в танке:
Идея не моя, а собраная в одну с коментов вопроса, ссылка на который вверху темы.
Голосуйте! Может Админ сделает доп. защиту, кроме пароля для операций =)
Потому что пароль для операций не решает всех проблем...
И во-вторых, призываю Вас участников, быть поактивней...Потому что завтра эта беда может коснуться лично Вас. И дело не в материальном, а в моральном ущербе скорее...
Вы посмотрите мой ответ ( он чуть выше Вашего) и делайте выводы...
Я так и делаю практически всегда, если есть хоть капля времени - читаю все ответы.Есть тут приколисты, которые пытаются войти в акк, вводя вместо пароля логин и прочую дребедень.Для большинства таких случаев пароль для операций вполне подходит для защиты.А вот проф хаккеры - совершенно другая история.
Вы посмотрите мой ответ ( он чуть выше Вашего) и делайте выводы...
Я так и делаю практически всегда, если есть хоть капля времени - читаю все ответы.Есть тут приколисты, которые пытаются войти в акк, вводя вместо пароля логин и прочую дребедень.Для большинства таких случаев пароль для операций вполне подходит для защиты.А вот проф хаккеры - совершенно другая история.
Беда в том, что скорее всего у них в руках скорее всего, база данных нашего Админа............. другим никак не объяснишь...
Блокировать на долгое время-не вариант, могут быть подставы. А что если добавить возможность "черного списка айпи адресов входа в акк". Допустим вы увидели что вас пытался кто то взломать-добавили в этот список и все, пусть пытается сколько влезет. а войти не сможет. А можно и вовсе геотаргетинг задавать=)
Блокировать на долгое время-не вариант, могут быть подставы. А что если добавить возможность "черного списка айпи адресов входа в акк". Допустим вы увидели что вас пытался кто то взломать-добавили в этот список и все, пусть пытается сколько влезет. а войти не сможет. А можно и вовсе геотаргетинг задавать=)
а этот же человек перезагрузит компьютер-и будет у него новый айпи...