Sicurezza: tentativi di login

[supermac]

Grazie per la risposta celere.
Problemi al momento non ne rilevo: la pagina di login prende le credenziali e fa la query di verifica usando i parametri (SelectCommand.Parameters.Add... ) quindi dovrebbe essere mediamente al sicuro da sqlinjection.
La cosa fastidiosa è che ad esempio uno di questi IP ogni 6 ore spaccate fa 2 tentativi (solo 2) e poi sparisce e ritorna dopo 6 ore per fare altri 2 tentativi, sempre dallo stesso IP.
Un altro invece vedo che ieri alle 20 (fuori dall'orario di ufficio in cui mi attendo visite sul sito) ha fatto una dozzina di tentativi a distanza di 10-15 secondi uno dietro l'altro, poi ha mollato.
Sono palesemente tentativi fatti da qualcuno in modo più o meno automatico... hai ragione da vendere quando dici che la tabella potrebbe riempirsi velocemente ma potrei anche svuotarla ogni mese, ad esempio... a me basta scoraggiare questi tentativi nel breve, se poi ritornano il mese successivo non posso farci niente, li reinserirò nella blacklist.
(il controllo meglio farlo già nel page init?)

[alka]

a me basta scoraggiare questi tentativi nel breve, se poi ritornano il mese successivo non posso farci niente, li reinserirò nella blacklist.

Secondo me, si potrebbe gestire diversamente. Ad esempio, conteggiando quanti tentativi vengono fatti da un indirizzo IP nel breve termine (quindi in memoria) facendo sì che al terzo (o al tentativo N di libera scelta) la pagina si blocchi e presenti un messaggio indicando di attendere diversi secondi prima di riprovare.

Una fatica del genere per un IP che due volte al giorno prova ad accedere, se le password non sono intelligibili, credo sia sprecata.

Diverso è imbastire un sistema che blocchi davvero gli attacchi potenzialmente dannosi per le performance o pericolosi per il tentativo di indovinare con forza bruta un utente e password di accesso.