Visualizzazione dei risultati da 1 a 4 su 4
  1. #1
    Utente di HTML.it
    Registrato dal
    May 2012
    Messaggi
    768

    bloccare host in un modo più efficace che mediante l'ip

    Ciao a tutti,

    attualmente ho implementato un filtro sulla applicazione php che bloccano determinati indirizzi ip.
    Ad esempio se un utente cerca di accedere al sito e sbaglia nome utente e password 5 volte blocco l'ip da cui proviene la richiesta.
    Esiste qualche metodo più effettivo ed efficace?


    Grazie,
    Roberto

  2. #2
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,219
    Potresti impostare un cookie, così eviti che chi sta provando ad accedere riavvii il router per cambiare IP.
    Un altro sistema che può risultare più efficace è impostare un campo flag nella tabella degli utenti o meglio creare una tabella apposita per gli account disabilitati con un paio di campi: l'id dell'account da disabilitare ed un timestamp che riporti quando è stato disabilitato.

    Ogni volta che un utente tenta il login vai prima a vedere in questa tabella se l'id di quell'account è presente e se il timestamp è troppo recente (a te definire quanto sia "troppo recente"), se queste due cose sono verificate, abortisci il login e notifichi all'utente di aspettare prima di riprovare, se l'id c'è, ma è passato abbastanza tempo, cancelli il record di questo account dalla tabella degli account disabilitati e provi il login, se non c'è proprio in questa tabella procedi direttamente col tentativo di login.
    Earth2: 3QCNSPFQUH

  3. #3
    Utente di HTML.it
    Registrato dal
    May 2012
    Messaggi
    768
    Quote Originariamente inviata da Alhazred Visualizza il messaggio
    Potresti impostare un cookie, così eviti che chi sta provando ad accedere riavvii il router per cambiare IP.
    Un altro sistema che può risultare più efficace è impostare un campo flag nella tabella degli utenti o meglio creare una tabella apposita per gli account disabilitati con un paio di campi: l'id dell'account da disabilitare ed un timestamp che riporti quando è stato disabilitato.

    Ogni volta che un utente tenta il login vai prima a vedere in questa tabella se l'id di quell'account è presente e se il timestamp è troppo recente (a te definire quanto sia "troppo recente"), se queste due cose sono verificate, abortisci il login e notifichi all'utente di aspettare prima di riprovare, se l'id c'è, ma è passato abbastanza tempo, cancelli il record di questo account dalla tabella degli account disabilitati e provi il login, se non c'è proprio in questa tabella procedi direttamente col tentativo di login.
    Attualmente blocco ip dopo 5 prove d'accesso per 5 minuti, e dopo 99 prove di accesso non riuscite in 1 ora blocco l'ip definitivamente, nel senso che restituisce una pagina in bianco.
    E pur vero che con un attacco di forza bruta bisogna puntare su un nome utente concreto, cambiando la password, quindi dopo x tentativi potrei bloccare l'accesso a questo utente, c'è da dire però che conoscendo il nome utente, un altro utente malintenzionato potrebbe divertirsi e continuare a bloccare l'account.

  4. #4
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,219
    Quote Originariamente inviata da robynosse Visualizza il messaggio
    .. c'è da dire però che conoscendo il nome utente, un altro utente malintenzionato potrebbe divertirsi e continuare a bloccare l'account.
    Il rischio esiste, io ho un account sul sito Sisal, mi arrivavano notifiche di blocco dell'account a causa del numero di tentativi di login falliti, login che non cercavo di fare io, sicuramente qualche bot.
    Le prime volte lo sbloccavo appena mi arrivavano le notifiche, adesso lo lascio bloccato e lo sblocco se e quando mi serve entrare nel sito, tanto dopo averlo sbloccato passanvano 3 o 4 giorni e di nuovo bloccato.
    Earth2: 3QCNSPFQUH

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2021 vBulletin Solutions, Inc. All rights reserved.