Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> zabezpieczenie tokenem, poziom bezpieczeństwa
koskitos
post 30.09.2006, 15:40:51
Post #1





Grupa: Zarejestrowani
Postów: 149
Pomógł: 0
Dołączył: 18.04.2004
Skąd: Z nikąd

Ostrzeżenie: (30%)
XX---

Do jakich formularzy użyć tokena?
Denerwujące byłoby gdybym użył do wszystkich.
Myślałem o dodaniu tylko do formularzy, które są dostępne bez logowania.

Co o tym myślicie? Macie lepszy pomysł?

Dzięki!


--------------------
kOskiToS :D
Go to the top of the page
+Quote Post
raikou
post 30.09.2006, 16:50:41
Post #2





Grupa: Zarejestrowani
Postów: 21
Pomógł: 0
Dołączył: 25.11.2005
Skąd: Warszawa

Ostrzeżenie: (0%)
-----

Co rozumiesz pod pojęciem "token"? Obrazek CAPTCHA? Jeśli tak to dokładnie tak jak mówisz, do wszystkiego co jest dostępne bez logowania, смерть ботом!


--------------------
Humans cannot create from nothingness, humans cannot accomplish anything without holding on to something, humans are not gods.

PLD Linux AC / Eclipse 3.2.1 / Firefox 2.0
Go to the top of the page
+Quote Post
koskitos
post 30.09.2006, 16:53:20
Post #3





Grupa: Zarejestrowani
Postów: 149
Pomógł: 0
Dołączył: 18.04.2004
Skąd: Z nikąd

Ostrzeżenie: (30%)
XX---

OK. Dokładniej: wszystko bez logowania poza formularzem logowania? ;]


--------------------
kOskiToS :D
Go to the top of the page
+Quote Post
macza
post 30.09.2006, 16:56:21
Post #4





Grupa: Zarejestrowani
Postów: 236
Pomógł: 4
Dołączył: 1.05.2006
Skąd: Lublin

Ostrzeżenie: (0%)
-----

moim zdaniem to dobry sposob
ale zeby bylo lepiej daj tylko 3 literowe/liczbowe tokeny biggrin.gif


--------------------
_tworzenie stron www tanio Lublin - tworzenie stron www, tanio, szybko, solidnie, własny CMS.
Go to the top of the page
+Quote Post
raikou
post 30.09.2006, 17:01:08
Post #5





Grupa: Zarejestrowani
Postów: 21
Pomógł: 0
Dołączył: 25.11.2005
Skąd: Warszawa

Ostrzeżenie: (0%)
-----

Cytat(koskitos)
OK. Dokładniej: wszystko bez logowania poza formularzem logowania? ;]

Tak, ale moim zdaniem tylko jeśli dasz jakiś limit prób logowania.

Cytat(macza)
ale zeby bylo lepiej daj tylko 3 literowe/liczbowe tokeny

Zgodze się, ale albo 2 albo 3 znaki, najlepiej tak ładnie zrobione jak na www.rapidshare.de


--------------------
Humans cannot create from nothingness, humans cannot accomplish anything without holding on to something, humans are not gods.

PLD Linux AC / Eclipse 3.2.1 / Firefox 2.0
Go to the top of the page
+Quote Post
koskitos
post 30.09.2006, 17:06:03
Post #6





Grupa: Zarejestrowani
Postów: 149
Pomógł: 0
Dołączył: 18.04.2004
Skąd: Z nikąd

Ostrzeżenie: (30%)
XX---

Spoko.
Ale nie widzę sensu ograniczania liczb prób logowania, gdyż nie ma tu dużego zagrożenia. Przecież bot nie może mi nic zrobić (w logowaniu tylko sprawdzam dane z bazy). Nie może nic poprostu dodać do bazy.


--------------------
kOskiToS :D
Go to the top of the page
+Quote Post
raikou
post 30.09.2006, 17:16:57
Post #7





Grupa: Zarejestrowani
Postów: 21
Pomógł: 0
Dołączył: 25.11.2005
Skąd: Warszawa

Ostrzeżenie: (0%)
-----

Po co jakiś bot ma ci kilka razy na sekundę odpytywać bazę poprzez skrypt logowania i zwiększać load serwera?

Ogranicząjąc liczby nieudanych prób logowania eliminujesz ataki na konta typu brute force, a przynajmniej wydłużasz je do kilkuset miliardów lat.

Ten post edytował raikou 30.09.2006, 17:17:21


--------------------
Humans cannot create from nothingness, humans cannot accomplish anything without holding on to something, humans are not gods.

PLD Linux AC / Eclipse 3.2.1 / Firefox 2.0
Go to the top of the page
+Quote Post
koskitos
post 30.09.2006, 18:05:18
Post #8





Grupa: Zarejestrowani
Postów: 149
Pomógł: 0
Dołączył: 18.04.2004
Skąd: Z nikąd

Ostrzeżenie: (30%)
XX---

A po co bot ma się męczyć wysyłając dane do formularza?
Wystarczy, że wyświetli moją stronę (na samym starcie wykona pare zapytań do bazy).
Może poprostu ograniczyć ilość wejść dziennie? ;/ <Lol>


--------------------
kOskiToS :D
Go to the top of the page
+Quote Post
raikou
post 30.09.2006, 18:12:52
Post #9





Grupa: Zarejestrowani
Postów: 21
Pomógł: 0
Dołączył: 25.11.2005
Skąd: Warszawa

Ostrzeżenie: (0%)
-----

Cytat(koskitos)
A po co bot ma się męczyć wysyłając dane do formularza?
Wystarczy, że wyświetli moją stronę (na samym starcie wykona pare zapytań do bazy).
Może poprostu ograniczyć ilość wejść dziennie?

Ja używam klas do cachowania wyników sql+php, i nie wiem jak ty to robisz. Podałem tylko ewentualność jaka może zajść, czyli bezsensowne obciązenie maszyny i próba włamiania. Mało prawdopodbne ale możliwe, ludzie są nieprzewidywalni.

Jak chcesz to sobie ogranicz ilość wejść dziennie, ale najlepiej wyciągnij skrętkę z gniazdka, serwerowej i swojej, maszyny, będzie łatwiej, szybciej i skuteczniej. ;/ </Lol> [/sarcasm]


--------------------
Humans cannot create from nothingness, humans cannot accomplish anything without holding on to something, humans are not gods.

PLD Linux AC / Eclipse 3.2.1 / Firefox 2.0
Go to the top of the page
+Quote Post
koskitos
post 30.09.2006, 18:17:43
Post #10





Grupa: Zarejestrowani
Postów: 149
Pomógł: 0
Dołączył: 18.04.2004
Skąd: Z nikąd

Ostrzeżenie: (30%)
XX---

Bez komentarza


--------------------
kOskiToS :D
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 24.06.2025 - 00:23
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn