Visualizzazione dei risultati da 1 a 7 su 7
  1. #1

    Login e pericoloso attacco brute force

    Ciao ragazzi avrei una domanda, forse banale, ma di cui non ho ancora trovato una risposta.

    Se creo un sistema di login che dopo tot tentativi, per esempio 5, di uno stesso indirizzo ip fa comparire un codice recaptcha da compilare, esso è veramente sicuro o no?

    La prima cosa che mi è venuta in mente è subito: tutto perfetto il metodo funziona, fin quando un bot automaticamente dopo tot tentativi cambia il suo ip rendendo superfluo il mio controllo.

    Le uniche soluzioni che mi sono venute in mente sono due:

    1)Faccio un controllo anche delle volte che quello specifico nome utente ha provato ad entrare, e metto un controllo recaptcha dopo tot tentativi (quindi anche cambiando l'ip non si renderebbe superfluo esso). Anche se un bot potrebbe benissimo far scattare il codice captcha ad un account a random conoscendo solamente il nome utente.

    2)Metto un blocco di tot secondi a quell'account dopo tot tentativi. (Anche se con questo metodo si rischierebbe che qualcuno blocchi gli account per tot tempo solamente conoscendo il loro nome utente e continuando a sbagliare login apposta).

    La domanda alla fin dei conti è solamente una: Google provvede da solo con una sua blacklist aggiornata al possibile cambio di ip iterativo di un bot o per forza di cose si deve ricorrere ad un terzo metodo?
    Ultima modifica di cistoverosi; 22-12-2018 a 19:03

  2. #2
    Moderatore di Javascript L'avatar di ciro78
    Registrato dal
    Sep 2000
    residenza
    Napoli
    Messaggi
    8,111
    io metterei il captcha dopo 3 e il blocco dopo 5
    Ciro Marotta - Programmatore JAVA - PHP
    Preferisco un fallimento alle mie condizioni che un successo alle condizioni altrui.


  3. #3
    Perfetto ma il blocco dopo 5 tentativi falliti non potrebbe dare modo ad un eventuale bot di distruggere del tutto il login del sito per tutti gli utenti iscritti o comunque creare disagio ad alcuni?
    Se controllo e metto un captcha basandomi sull'ip non c'è rischio che il bot cambi e si proxy l'ip ogni 3 tentativi per non cadere nel codice captcha? (recaptcha) Google ha una blacklist aggiornata che non permette di fare ciò o devo studiare un metodo effettivo io?
    Quote Originariamente inviata da ciro78 Visualizza il messaggio
    io metterei il captcha dopo 3 e il blocco dopo 5

  4. #4
    Moderatore di Javascript L'avatar di ciro78
    Registrato dal
    Sep 2000
    residenza
    Napoli
    Messaggi
    8,111
    Quote Originariamente inviata da cistoverosi Visualizza il messaggio
    Perfetto ma il blocco dopo 5 tentativi falliti non potrebbe dare modo ad un eventuale bot di distruggere del tutto il login del sito per tutti gli utenti iscritti o comunque creare disagio ad alcuni?
    Se controllo e metto un captcha basandomi sull'ip non c'è rischio che il bot cambi e si proxy l'ip ogni 3 tentativi per non cadere nel codice captcha? (recaptcha) Google ha una blacklist aggiornata che non permette di fare ciò o devo studiare un metodo effettivo io?
    blocchi il login da quell ip. non blocchi il login
    Ciro Marotta - Programmatore JAVA - PHP
    Preferisco un fallimento alle mie condizioni che un successo alle condizioni altrui.


  5. #5
    ah ok intendevi bloccare l'ip, avevo capito altro.
    Ma bloccando l'ip non c'è il rischio che semplicemente il bot si proxy con un altro ip continuando incontrastato il suo brute force?
    Basterebbe che il bot oltre che essere specializzato nell'attaccare un form sia anche in grado di cambiare il suo ip dopo tot tentativi.
    Quote Originariamente inviata da ciro78 Visualizza il messaggio
    blocchi il login da quell ip. non blocchi il login

  6. #6
    Utente di HTML.it
    Registrato dal
    Aug 2004
    Messaggi
    358
    se poi, da un unico IP, escono diversi utenti (azienda, lan ecc.) ecco che se blocchi uno blocchi tutti. Devi perciò prevedere anche una white list per gli IP "fidati"

  7. #7
    Moderatore di Javascript L'avatar di ciro78
    Registrato dal
    Sep 2000
    residenza
    Napoli
    Messaggi
    8,111
    a parte che lo puoi bloccare per poche ore. poi se fanno brute force da una azienda amen
    Ciro Marotta - Programmatore JAVA - PHP
    Preferisco un fallimento alle mie condizioni che un successo alle condizioni altrui.


Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2019 vBulletin Solutions, Inc. All rights reserved.