דיון-אבטחה מפני הצפות - הוסטס

dabi · 28-07-08, 20:33

רציתי לשמוע דעות של אנשים פה איך אתם מגינים מפני הצפות למערכת כמו הרשמה
(כי למערכת תגובות אם אני עושה שרק מי שרשום יכול להגיב זה לא בעיה לחסום זמנית משתמש רשום)
הבעיה היא בהרשמה שהבוט יכול בשניה להציף לי את המערכת ב מיליון הרשמות
כמובן שיש אפשרות עם הקוד אימות GD אבל זה ממש לא נוח ,כי אם הקוד כתוב ברור קל לבוט לזהות אותו,ואם הוא לא כתוב ברור המשתמש מתאמץ ואני לא רוצה את זה

חשבתי על אפשרויות אחרות כמו השוואה בין HTTP_REFERER ל HTTP_HOST-כמובן שזה ניתן לזיוף אבל זה עוזר קצת
עוד אפשרות זה שאלה בעיברית ,מתמטיקה כמו 2+5 והמשתמש צריך לרשום תשובה ,כמובן שיהיו איזה 30 שאלות שונות ואחרי 2-3 פעמים שהוא טועה הוא נחסם(למרות שיש מצב שאפשר לתכנת את הבוט לקרוא את השאלה איכשהו)
אשמח לשמוע על עוד שיטות כי שוב,התמונה הראנדומלית של ה GD מאוד מעיקה

תודה

mlnn · 28-07-08, 20:37

חבר מביא חבר.

"אימות GD" הכי סביר.

dabi · 28-07-08, 20:43

מה הכוונה חבר מביא חבר
אבל אימות GD לאנוח כמו שאמרת,הקלים קלים לפיצוח ע"י והקשים מוציאים את העניים

DvirCohen · 28-07-08, 22:26

אתה יכול לעשות אולי GD אבל להגיד לכתוב למשל קודם כל את התווים במקומות זוגיים ואז את האי זוגיים.

לדוגמא במחרוזת ABCDEF הקוד הנכון הוא BDFACE
או שגם על זה בוט יכול לעלות :\

~~Striker~~ · 28-07-08, 22:39

שמע הכל תלוי ברמה של אותו אדם שרוצה להציף אותך.
לדעתי CAPTHA בסיסי יספיק , אתה יכול לצרף חסימה של הרשמה כפולה מאותו IP כדי להקשות על אותו בוט אבל בתכלס אפילו את הCAPTHA של GMAIL הצליחו לפצח חלקית (20% מהנסיונות , אל תטעה זה המון)

daMn · 28-07-08, 23:25

בדיקה של זמן, בדיוק כמו במערכת הזאת VB.
אם משתמש הגיב לפני X זמן אז אל תתן לו להגיב שוב.
X = מה שאתה רוצה, אני בדר"כ עושה 20 שניות.

רומן · 28-07-08, 23:47

יש המון סוגים של capch (תמונת אימות) יש דווקא כאלה שמאוד ברורות, וזה הפיתרון הכי טוב,
אתה כמובן יכול לעשות לפי אייפי, שנניח יהיה לו 5 ניסיונות ואז הוא חסום,
אבל הקוד תמונה הכי טוב.

dabi · 28-07-08, 23:47

ציטוט:

נכתב במקור על ידי daMn

בדיקה של זמן, בדיוק כמו במערכת הזאת VB.
אם משתמש הגיב לפני X זמן אז אל תתן לו להגיב שוב.
X = מה שאתה רוצה, אני בדר"כ עושה 20 שניות.

תקרא בבקשה את ההודעה שרשמתי

ציטוט:

נכתב במקור על ידי dabi

רציתי לשמוע דעות של אנשים פה איך אתם מגינים מפני הצפות למערכת כמו הרשמה
(כי למערכת תגובות אם אני עושה שרק מי שרשום יכול להגיב זה לא בעיה לחסום זמנית משתמש רשום)

להגבה זה לא בעיה
אני מדבר על הרשמה

ציטוט:

נכתב במקור על ידי רומן

יש המון סוגים של capch (תמונת אימות) יש דווקא כאלה שמאוד ברורות, וזה הפיתרון הכי טוב,
אתה כמובן יכול לעשות לפי אייפי, שנניח יהיה לו 5 ניסיונות ואז הוא חסום,
אבל הקוד תמונה הכי טוב.

תראה לי בבקשה קוד מובן ,כי הקודים המובנים בד"כ קל מאוד לעלות עליהם לבוטים

daMn · 29-07-08, 02:35

ציטוט:

נכתב במקור על ידי dabi

תקרא בבקשה את ההודעה שרשמתי

בעיקרון אפשר לעשות את זה גם איך שאמרתי לך, בדיקה של זמן, אם ניסה להירשם לפני X אל תאפשר הרשמה.
הפתרון הכי טוב להרשמות הוא GD, בגלל שהרשמה היא לא 200 פעם ביום אלא פעם אחת ויחידה למשתמש אין בעיה להקשות קצת בGD למען חסימת בוטים.

~~kfir91~~ · 29-07-08, 15:54

בהרשמה אתה יכול לעשות כמו שאני עשיתי במערכת שלי שאתה שומר תאייפי של המשתמש ואם האייפי נרשם בעבר זה מראה שגיאה.

28-07-08, 20:33	# 1
dabi חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 1,767	דיון-אבטחה מפני הצפות רציתי לשמוע דעות של אנשים פה איך אתם מגינים מפני הצפות למערכת כמו הרשמה (כי למערכת תגובות אם אני עושה שרק מי שרשום יכול להגיב זה לא בעיה לחסום זמנית משתמש רשום) הבעיה היא בהרשמה שהבוט יכול בשניה להציף לי את המערכת ב מיליון הרשמות כמובן שיש אפשרות עם הקוד אימות GD אבל זה ממש לא נוח ,כי אם הקוד כתוב ברור קל לבוט לזהות אותו,ואם הוא לא כתוב ברור המשתמש מתאמץ ואני לא רוצה את זה חשבתי על אפשרויות אחרות כמו השוואה בין HTTP_REFERER ל HTTP_HOST-כמובן שזה ניתן לזיוף אבל זה עוזר קצת עוד אפשרות זה שאלה בעיברית ,מתמטיקה כמו 2+5 והמשתמש צריך לרשום תשובה ,כמובן שיהיו איזה 30 שאלות שונות ואחרי 2-3 פעמים שהוא טועה הוא נחסם(למרות שיש מצב שאפשר לתכנת את הבוט לקרוא את השאלה איכשהו) אשמח לשמוע על עוד שיטות כי שוב,התמונה הראנדומלית של ה GD מאוד מעיקה תודה

28-07-08, 20:37	# 2
mlnn משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בחדר של חני גיל: 35 הודעות: 4,417	חבר מביא חבר. "אימות GD" הכי סביר. __________________ . בחורות ערומות

28-07-08, 23:25	# 6
daMn הוסטסניון מיני פרופיל תאריך הצטרפות: Mar 2007 גיל: 34 הודעות: 2,050	בדיקה של זמן, בדיוק כמו במערכת הזאת VB. אם משתמש הגיב לפני X זמן אז אל תתן לו להגיב שוב. X = מה שאתה רוצה, אני בדר"כ עושה 20 שניות. __________________ "חינוך למדעי המחשב לא יכול להפוך אף אחד למתכנת מומחה יותר מאשר לימוד על מברשות וצבעים יכול להפוך מישהו לצייר מיומן." (אריק ס. ריימונד)

28-07-08, 23:47	# 7
רומן חבר מתקדם מיני פרופיל תאריך הצטרפות: Dec 2005 מיקום: באר שבע גיל: 37 הודעות: 405	יש המון סוגים של capch (תמונת אימות) יש דווקא כאלה שמאוד ברורות, וזה הפיתרון הכי טוב, אתה כמובן יכול לעשות לפי אייפי, שנניח יהיה לו 5 ניסיונות ואז הוא חסום, אבל הקוד תמונה הכי טוב. __________________ משחק דפדפן משחקי דפדפן משחק דפדפן משחקי דפדפןמשחק דפדפן


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

28-07-08, 20:43	# 3
dabi חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 1,767	מה הכוונה חבר מביא חבר אבל אימות GD לאנוח כמו שאמרת,הקלים קלים לפיצוח ע"י והקשים מוציאים את העניים

28-07-08, 22:26	# 4
DvirCohen חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 151	אתה יכול לעשות אולי GD אבל להגיד לכתוב למשל קודם כל את התווים במקומות זוגיים ואז את האי זוגיים. לדוגמא במחרוזת ABCDEF הקוד הנכון הוא BDFACE או שגם על זה בוט יכול לעלות :\

28-07-08, 22:39	# 5
~~Striker~~ Permanently Banned מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 812	שמע הכל תלוי ברמה של אותו אדם שרוצה להציף אותך. לדעתי CAPTHA בסיסי יספיק , אתה יכול לצרף חסימה של הרשמה כפולה מאותו IP כדי להקשות על אותו בוט אבל בתכלס אפילו את הCAPTHA של GMAIL הצליחו לפצח חלקית (20% מהנסיונות , אל תטעה זה המון)

29-07-08, 15:54	# 10
~~kfir91~~ חסום מיני פרופיל תאריך הצטרפות: Apr 2007 הודעות: 220	בהרשמה אתה יכול לעשות כמו שאני עשיתי במערכת שלי שאתה שומר תאייפי של המשתמש ואם האייפי נרשם בעבר זה מראה שגיאה.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)