Nowści na forum - zabezpieczenia

Masz uwagi lub sugestie na temat forum? Tu możesz się nimi podzielić.

Moderator: Moderatorzy

zDaleKi
Stary bywalec bezprzewodowy
Posty: 12116
Rejestracja: 2005-10-12, 11:18
Lokalizacja: Wrocław

Nowści na forum - zabezpieczenia

Postautor: zDaleKi » 2011-01-20, 10:18

Witam.

Niestety musieliśmy na forum zastosować Captcha przy logowaniu się na forum.
Jest to spowodowane ostatnimi atakami na wiele for internetowych przez boty, w tym także na nasze.

Ataki te miały na celu przechwycenie kont użytkowników ale ich skutkiem ubocznym jest blokada bardzo dużej ilości kont a dłuższy okres czasu. Jest to spowodowane zabezpieczeniem forum, które po 4 nieudanych logowaniach blokuje konto.
Aby zatem nie dopuścić do blokady Waszych kont a tym bardziej do możliwości przejęcia konta wprowadziliśmy zabezpieczanie Captcha przy logowaniu.

Pragnę dodać, że wiemy jakie to jest uciążliwe :( i jeżeli tylko uda się opracować inne zabezpieczenie postaramy się wyłączyć Captcha. Zatem nie piszcie proszę o tym, że po co i dlaczego. Wiemy i chcemy to wyłączyć. Ale na chwilę obecną musimy podjąć takie kroki dla bezpieczeństwa forum. Zatem prosimy o wyrozumiałość.

Więcej na temat szalejących botów można poczytać tu: >Klik<

Jednocześnie przypomnę, że jeżeli ktoś korzysta tylko i wyłącznie z forum na własnym komputerze, to użycie opcji "Zaloguj mnie automatycznie przy każdej wizycie" pozwoli ograniczyć uciążliwość tego zabezpieczenia.
Ostatnio zmieniony 1970-01-01, 01:00 przez zDaleKi, łącznie zmieniany 3 razy.
Pozdr, (R) BliSki. (tm)
Pytania dotyczące kwestii technicznych tylko na forum. Pamiętaj PW to nie helpdesk.

key
*Mistrz bezprzewodowy*
Posty: 8797
Rejestracja: 2010-08-01, 18:30
Lokalizacja: Nürnberg

Re: Nowści na forum - zabezpieczenia

Postautor: key » 2011-01-20, 12:21

Wylaczcie prosze ten captcha. Wylaczenie mozliwosci logowania po trzech blednych probach na 15 minut skutecznie uniemozliwia wszelkie proby wlamania sie. Captcha powoduje calkowita niechec do zagladania na forum.

Awatar użytkownika
Jo_gurt
** Moderator **
Posty: 16553
Rejestracja: 2007-11-16, 21:49
Lokalizacja: Lublin

Re: Nowści na forum - zabezpieczenia

Postautor: Jo_gurt » 2011-01-20, 15:32

key pisze:Wylaczenie mozliwosci logowania po trzech blednych probach na 15 minut skutecznie uniemozliwia wszelkie proby wlamania sie.

No właśnie może uniemożliwia włamanie się, natomiast próby jak najbardziej są możliwe. I to jest bolesne.

Awatar użytkownika
krystianb
Guru bezprzewodowy
Posty: 10504
Rejestracja: 2008-03-19, 17:10
Lokalizacja: wa

Re: Nowści na forum - zabezpieczenia

Postautor: krystianb » 2011-01-20, 15:37

key pisze:Captcha powoduje calkowita niechec do zagladania na forum.
Ja wolę to, niż całkiem nie dostać się na konto. Jeśli bot się uprze na Twój nick, to cały czas nie będziesz miał dostępu do konta.
Za prośbę pomocy na gg/pw gwarantuje czerwony prezent!

key
*Mistrz bezprzewodowy*
Posty: 8797
Rejestracja: 2010-08-01, 18:30
Lokalizacja: Nürnberg

Re: Nowści na forum - zabezpieczenia

Postautor: key » 2011-01-20, 16:05

Jo_gurt pisze:I to jest bolesne.


Co jest bolesnego w probach?

krystianb pisze:Jeśli bot się uprze na Twój nick, to cały czas nie będziesz miał dostępu do konta.


Watpie zeby ktokolwiek probowal sie uprzec na jednym niku - to nie ma najmniejszego sensu. A jesli nawet, to napisanie skryptu blokujacego przy tym rozwiazaniu tez nie jest problemem.

Dajcie przynajmniej mozliwosc bycia zameldowanym na stale z 5..8 IP.

Awatar użytkownika
Digitall
Specjalista bezprzewodowy-junior
Posty: 224
Rejestracja: 2006-06-18, 10:37
Lokalizacja: PL/podkarpackie

Re: Nowści na forum - zabezpieczenia

Postautor: Digitall » 2011-01-20, 16:31

Ja również proponuję zastosowanie limitu logowań oraz limitu czasowego.
3 błędne loginy i 15 minut przerwy, a do tego miłe byłoby reaktywowanie konta poprzez kliknięcie linku w email o blokadzie i już po problemie... Niech sobie robot jedzie do woli..? - Chyba że faktycznie będzie jechał to konto cały czas, to wtedy się nie zalogujesz... No chyba że przez taki link (j/w opisany) zawarty w emailu o blokadzie..
Captcha jest denerwujące :/
Aktualnie: bez limitu! [6Mbps ADSL] (((WiFi))) [Domowy LAN + (((WiFi)))]
Było: CSD, GPRS, EDGE, CDMA... same limity..

ryba825
Mistrz bezprzewodowy
Posty: 1361
Rejestracja: 2009-07-05, 16:15
Lokalizacja: Warszawa

Re: Nowści na forum - zabezpieczenia

Postautor: ryba825 » 2011-01-20, 16:32

key pisze:Co jest bolesnego w probach?
To że któraś może się w końcu zakończyć sukcesem.

[ Dodano: 2011-01-20, 16:39 ]
Digitall pisze:Captcha jest denerwujące
Niezastosowanie Captcha może grozić tym, że duża ilość użytkowników może mieć ciągle zablokowane konto, co może się wiązać ze zniechęceniem i zdenerwowaniem użytkowników, a to natomiast przeniesie się na administratorów, więc aby nie dopuścić do aż takiej sytuacji zostało wprowadzone dodatkowe zabezpieczenie.

key
*Mistrz bezprzewodowy*
Posty: 8797
Rejestracja: 2010-08-01, 18:30
Lokalizacja: Nürnberg

Re: Nowści na forum - zabezpieczenia

Postautor: key » 2011-01-20, 16:42

To że któraś może się w końcu zakończyć sukcesem.


Taaaaaaaaa... przy dwunastu probach na godzine gratuluje wytrwalosci.

BTW: sprawdz sobie jakosc swojego hasla: https://passwortcheck.datenschutz.ch/check.php?lang=en - i zobacz ile czasu potrzebujesz na brute force twojego ;)

BTW: sprobuj rowniez prostego do zapamietania "Kubus Puchatek" napisanego w wersji "Neo" -> Qu8u$_Puch4teq

ryba825
Mistrz bezprzewodowy
Posty: 1361
Rejestracja: 2009-07-05, 16:15
Lokalizacja: Warszawa

Re: Nowści na forum - zabezpieczenia

Postautor: ryba825 » 2011-01-20, 16:53

key, zabezpieczenie zostało wprowadzone i dopóki administracja nie zdecyduje się go zmienić/wyłączyć dopóty będzie.

key
*Mistrz bezprzewodowy*
Posty: 8797
Rejestracja: 2010-08-01, 18:30
Lokalizacja: Nürnberg

Re: Nowści na forum - zabezpieczenia

Postautor: key » 2011-01-20, 16:55

No i co teraz? Mam siedziec cicho i nie marudzic na temat bezsensownych "ulepszen"?

Forum zyje z ludzi. A to ulepszenie zniecheca ludzi do wchodzenia na forum. Czy na pewno "Administracja" osiaga to co zamierza?

BTW: kazdemu kto boi sie zlamania hasla proponuje przeliczenie ile bedzie trwal brute force piecio literowego hasla z ograniczeniem 12 prob na godzine.

Jesli juz upieramy sie przy captcha, to moze zalaczmy je dopiero po dwukrotnym wpisaniu zlego hasla? W ten sposob i wilk byl by syty i owca cala.

Awatar użytkownika
wojteks
*** Administrator ***
Posty: 21671
Rejestracja: 2007-12-02, 11:51
Lokalizacja: Krosno

Re: Nowści na forum - zabezpieczenia

Postautor: wojteks » 2011-01-20, 17:14

key pisze: sprawdz sobie jakosc swojego hasla:

Wyszło mi "stark" to chyba dobre.
Nie pomagam na PW!

zDaleKi
Stary bywalec bezprzewodowy
Posty: 12116
Rejestracja: 2005-10-12, 11:18
Lokalizacja: Wrocław

Re: Nowści na forum - zabezpieczenia

Postautor: zDaleKi » 2011-01-20, 17:43

key pisze:Wylaczenie mozliwosci logowania po trzech blednych probach na 15 minut skutecznie uniemozliwia wszelkie proby wlamania sie.

I dzięki temu bot potrafi zablokować 200 - 300 kont w przeciągu paru minut.

krystianb pisze: Jeśli bot się uprze na Twój nick, to cały czas nie będziesz miał dostępu do konta.

Bot skanuje wszystkie konta po kolei. Zatem takie próby blokad mogłyby się powtarzać.
I problem dotyczy nie tylko naszego forum ale wielu innych. Dlatego takie a nie inne działania podjęliśmy.

krystianb pisze:Ja wolę to, niż całkiem nie dostać się na konto.

Dokładnie :ok:

key pisze:Watpie zeby ktokolwiek probowal sie uprzec na jednym niku - to nie ma najmniejszego sensu. A jesli nawet, to napisanie skryptu blokujacego przy tym rozwiazaniu tez nie jest problemem.

Jeżeli napiszesz sprawny skrypt zabezpieczający to już teraz zachęcam.

ryba825 pisze:Niezastosowanie Captcha może grozić tym, że duża ilość użytkowników może mieć ciągle zablokowane konto

O to właśnie chodzi.
Nikt z Was chyba nie byłby w stanie tych wszystkich mail, które dostali administratorzy przeczytać....

ryba825 pisze:uża ilość użytkowników może mieć ciągle zablokowane konto, co może się wiązać ze zniechęceniem i zdenerwowaniem użytkowników, a to natomiast przeniesie się na administratorów, więc aby nie dopuścić do aż takiej sytuacji zostało wprowadzone dodatkowe zabezpieczenie.

O to właśnie chodzi.
Niestety inaczej admini tylko musieliby siedzieć i odpowiadać na maile przez całą dobę.

key pisze:Forum zyje z ludzi. A to ulepszenie zniecheca ludzi do wchodzenia na forum. Czy na pewno "Administracja" osiaga to co zamierza?

Łatwo krytykować!
Zachęcam do stworzenia prostszego, lepsze i skuteczniejszego zabezpieczenia!

key pisze:BTW: kazdemu kto boi sie zlamania hasla proponuje przeliczenie ile bedzie trwal brute force piecio literowego hasla z ograniczeniem 12 prob na godzine.

Jeszcze raz podkreślę, problemem nie jest to, że złamane zostaną hasła - ale to, że masowo blokowane są konta setki użytkowników w jednym czasie!

key pisze:Jesli juz upieramy sie przy captcha, to moze zalaczmy je dopiero po dwukrotnym wpisaniu zlego hasla? W ten sposob i wilk byl by syty i owca cala.

Zatem proszę poprawa skrypt jak masz wiedzę i wolny czas.
Pozdr, (R) BliSki. (tm)

Pytania dotyczące kwestii technicznych tylko na forum. Pamiętaj PW to nie helpdesk.

aplauz
Początkujący użytkownik forum
Posty: 1
Rejestracja: 2010-02-09, 17:47
Lokalizacja: Sulechów

Re: Nowści na forum - zabezpieczenia

Postautor: aplauz » 2011-01-20, 18:42

A może 3 normalne logowania, a po trzech błędnych hasłach żeby odpalała się dopiero Captcha? Kurcze nie doczytałem ostatniego posta. Ale to byłoby najrozsądniejsze rozwiązanie.

zDaleKi
Stary bywalec bezprzewodowy
Posty: 12116
Rejestracja: 2005-10-12, 11:18
Lokalizacja: Wrocław

Re: Nowści na forum - zabezpieczenia

Postautor: zDaleKi » 2011-01-20, 18:48

aplauz pisze:A może 3 normalne logowania, a po trzech błędnych hasłach żeby odpalała się dopiero Captcha?

Jak już napisałem.
Jeżeli ktoś z Was ma czas i ochotę tak przerobić skrypt to nie ma żadnego problemu aby tak zrobić. Ja też bym się z takiego rozwiązania ucieszył.
Pozdr, (R) BliSki. (tm)

Pytania dotyczące kwestii technicznych tylko na forum. Pamiętaj PW to nie helpdesk.

Awatar użytkownika
zefel
Specjalista bezprzewodowy-junior
Posty: 151
Rejestracja: 2010-12-26, 14:41
Lokalizacja: Śląsk

Re: Nowści na forum - zabezpieczenia

Postautor: zefel » 2011-01-20, 19:00

N a ty m capcie czy jak to sie tam zwie żeby były jakieś sensowne hasła bo nieraz przy dobrym zwroku nie idzie odczytać hasła. :szok:


Wróć do „Porozmawiaj o forum”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość