Nowści na forum - zabezpieczenia

Masz uwagi lub sugestie na temat forum? Tu możesz się nimi podzielić.

Moderator: Moderatorzy

ODPOWIEDZ
zDaleKi
Stary bywalec bezprzewodowy
Posty: 11508
Rejestracja: 2005-10-12, 11:18
Lokalizacja: Wrocław

Nowści na forum - zabezpieczenia

Post autor: zDaleKi »

Witam.

Niestety musieliśmy na forum zastosować Captcha przy logowaniu się na forum.
Jest to spowodowane ostatnimi atakami na wiele for internetowych przez boty, w tym także na nasze.

Ataki te miały na celu przechwycenie kont użytkowników ale ich skutkiem ubocznym jest blokada bardzo dużej ilości kont a dłuższy okres czasu. Jest to spowodowane zabezpieczeniem forum, które po 4 nieudanych logowaniach blokuje konto.
Aby zatem nie dopuścić do blokady Waszych kont a tym bardziej do możliwości przejęcia konta wprowadziliśmy zabezpieczanie Captcha przy logowaniu.

Pragnę dodać, że wiemy jakie to jest uciążliwe :( i jeżeli tylko uda się opracować inne zabezpieczenie postaramy się wyłączyć Captcha. Zatem nie piszcie proszę o tym, że po co i dlaczego. Wiemy i chcemy to wyłączyć. Ale na chwilę obecną musimy podjąć takie kroki dla bezpieczeństwa forum. Zatem prosimy o wyrozumiałość.

Więcej na temat szalejących botów można poczytać tu: >Klik<

Jednocześnie przypomnę, że jeżeli ktoś korzysta tylko i wyłącznie z forum na własnym komputerze, to użycie opcji "Zaloguj mnie automatycznie przy każdej wizycie" pozwoli ograniczyć uciążliwość tego zabezpieczenia.
Ostatnio zmieniony 1970-01-01, 01:00 przez zDaleKi, łącznie zmieniany 3 razy.
Pozdr, (R) BliSki. (tm)
Pytania dotyczące kwestii technicznych tylko na forum. Pamiętaj PW to nie helpdesk.
key
*Mistrz bezprzewodowy*
Posty: 9565
Rejestracja: 2010-08-01, 18:30
Lokalizacja: Nürnberg

Re: Nowści na forum - zabezpieczenia

Post autor: key »

Wylaczcie prosze ten captcha. Wylaczenie mozliwosci logowania po trzech blednych probach na 15 minut skutecznie uniemozliwia wszelkie proby wlamania sie. Captcha powoduje calkowita niechec do zagladania na forum.
Nie pomagam na PW.
Awatar użytkownika
Jo_gurt
Guru bezprzewodowy
Posty: 16330
Rejestracja: 2007-11-16, 21:49
Lokalizacja: Lublin

Re: Nowści na forum - zabezpieczenia

Post autor: Jo_gurt »

key pisze:Wylaczenie mozliwosci logowania po trzech blednych probach na 15 minut skutecznie uniemozliwia wszelkie proby wlamania sie.
No właśnie może uniemożliwia włamanie się, natomiast próby jak najbardziej są możliwe. I to jest bolesne.
Awatar użytkownika
krystianb
Guru bezprzewodowy
Posty: 10350
Rejestracja: 2008-03-19, 17:10
Lokalizacja: wa

Re: Nowści na forum - zabezpieczenia

Post autor: krystianb »

key pisze:Captcha powoduje calkowita niechec do zagladania na forum.
Ja wolę to, niż całkiem nie dostać się na konto. Jeśli bot się uprze na Twój nick, to cały czas nie będziesz miał dostępu do konta.
Za prośbę pomocy na gg/pw gwarantuje czerwony prezent!
key
*Mistrz bezprzewodowy*
Posty: 9565
Rejestracja: 2010-08-01, 18:30
Lokalizacja: Nürnberg

Re: Nowści na forum - zabezpieczenia

Post autor: key »

Jo_gurt pisze:I to jest bolesne.
Co jest bolesnego w probach?
krystianb pisze:Jeśli bot się uprze na Twój nick, to cały czas nie będziesz miał dostępu do konta.
Watpie zeby ktokolwiek probowal sie uprzec na jednym niku - to nie ma najmniejszego sensu. A jesli nawet, to napisanie skryptu blokujacego przy tym rozwiazaniu tez nie jest problemem.

Dajcie przynajmniej mozliwosc bycia zameldowanym na stale z 5..8 IP.
Nie pomagam na PW.
Awatar użytkownika
Digitall
Specjalista bezprzewodowy-junior
Posty: 222
Rejestracja: 2006-06-18, 10:37
Lokalizacja: PL/podkarpackie

Re: Nowści na forum - zabezpieczenia

Post autor: Digitall »

Ja również proponuję zastosowanie limitu logowań oraz limitu czasowego.
3 błędne loginy i 15 minut przerwy, a do tego miłe byłoby reaktywowanie konta poprzez kliknięcie linku w email o blokadzie i już po problemie... Niech sobie robot jedzie do woli..? - Chyba że faktycznie będzie jechał to konto cały czas, to wtedy się nie zalogujesz... No chyba że przez taki link (j/w opisany) zawarty w emailu o blokadzie..
Captcha jest denerwujące :/
Aktualnie: bez limitu! [6Mbps ADSL] (((WiFi))) [Domowy LAN + (((WiFi)))]
Było: CSD, GPRS, EDGE, CDMA... same limity..
ryba825
Mistrz bezprzewodowy
Posty: 1332
Rejestracja: 2009-07-05, 16:15
Lokalizacja: Warszawa

Re: Nowści na forum - zabezpieczenia

Post autor: ryba825 »

key pisze:Co jest bolesnego w probach?
To że któraś może się w końcu zakończyć sukcesem.

[ Dodano: 2011-01-20, 16:39 ]
Digitall pisze:Captcha jest denerwujące
Niezastosowanie Captcha może grozić tym, że duża ilość użytkowników może mieć ciągle zablokowane konto, co może się wiązać ze zniechęceniem i zdenerwowaniem użytkowników, a to natomiast przeniesie się na administratorów, więc aby nie dopuścić do aż takiej sytuacji zostało wprowadzone dodatkowe zabezpieczenie.
key
*Mistrz bezprzewodowy*
Posty: 9565
Rejestracja: 2010-08-01, 18:30
Lokalizacja: Nürnberg

Re: Nowści na forum - zabezpieczenia

Post autor: key »

To że któraś może się w końcu zakończyć sukcesem.
Taaaaaaaaa... przy dwunastu probach na godzine gratuluje wytrwalosci.

BTW: sprawdz sobie jakosc swojego hasla: https://passwortcheck.datenschutz.ch/check.php?lang=en - i zobacz ile czasu potrzebujesz na brute force twojego ;)

BTW: sprobuj rowniez prostego do zapamietania "Kubus Puchatek" napisanego w wersji "Neo" -> Qu8u$_Puch4teq
ryba825
Mistrz bezprzewodowy
Posty: 1332
Rejestracja: 2009-07-05, 16:15
Lokalizacja: Warszawa

Re: Nowści na forum - zabezpieczenia

Post autor: ryba825 »

key, zabezpieczenie zostało wprowadzone i dopóki administracja nie zdecyduje się go zmienić/wyłączyć dopóty będzie.
key
*Mistrz bezprzewodowy*
Posty: 9565
Rejestracja: 2010-08-01, 18:30
Lokalizacja: Nürnberg

Re: Nowści na forum - zabezpieczenia

Post autor: key »

No i co teraz? Mam siedziec cicho i nie marudzic na temat bezsensownych "ulepszen"?

Forum zyje z ludzi. A to ulepszenie zniecheca ludzi do wchodzenia na forum. Czy na pewno "Administracja" osiaga to co zamierza?

BTW: kazdemu kto boi sie zlamania hasla proponuje przeliczenie ile bedzie trwal brute force piecio literowego hasla z ograniczeniem 12 prob na godzine.

Jesli juz upieramy sie przy captcha, to moze zalaczmy je dopiero po dwukrotnym wpisaniu zlego hasla? W ten sposob i wilk byl by syty i owca cala.
Awatar użytkownika
wojteks
*** Administrator ***
Posty: 26110
Rejestracja: 2007-12-02, 11:51
Lokalizacja: PL

Re: Nowści na forum - zabezpieczenia

Post autor: wojteks »

key pisze: sprawdz sobie jakosc swojego hasla:
Wyszło mi "stark" to chyba dobre.
Nie pomagam na PW!
zDaleKi
Stary bywalec bezprzewodowy
Posty: 11508
Rejestracja: 2005-10-12, 11:18
Lokalizacja: Wrocław

Re: Nowści na forum - zabezpieczenia

Post autor: zDaleKi »

key pisze:Wylaczenie mozliwosci logowania po trzech blednych probach na 15 minut skutecznie uniemozliwia wszelkie proby wlamania sie.
I dzięki temu bot potrafi zablokować 200 - 300 kont w przeciągu paru minut.
krystianb pisze: Jeśli bot się uprze na Twój nick, to cały czas nie będziesz miał dostępu do konta.
Bot skanuje wszystkie konta po kolei. Zatem takie próby blokad mogłyby się powtarzać.
I problem dotyczy nie tylko naszego forum ale wielu innych. Dlatego takie a nie inne działania podjęliśmy.
krystianb pisze:Ja wolę to, niż całkiem nie dostać się na konto.
Dokładnie :ok:
key pisze:Watpie zeby ktokolwiek probowal sie uprzec na jednym niku - to nie ma najmniejszego sensu. A jesli nawet, to napisanie skryptu blokujacego przy tym rozwiazaniu tez nie jest problemem.
Jeżeli napiszesz sprawny skrypt zabezpieczający to już teraz zachęcam.
ryba825 pisze:Niezastosowanie Captcha może grozić tym, że duża ilość użytkowników może mieć ciągle zablokowane konto
O to właśnie chodzi.
Nikt z Was chyba nie byłby w stanie tych wszystkich mail, które dostali administratorzy przeczytać....
ryba825 pisze:uża ilość użytkowników może mieć ciągle zablokowane konto, co może się wiązać ze zniechęceniem i zdenerwowaniem użytkowników, a to natomiast przeniesie się na administratorów, więc aby nie dopuścić do aż takiej sytuacji zostało wprowadzone dodatkowe zabezpieczenie.
O to właśnie chodzi.
Niestety inaczej admini tylko musieliby siedzieć i odpowiadać na maile przez całą dobę.
key pisze:Forum zyje z ludzi. A to ulepszenie zniecheca ludzi do wchodzenia na forum. Czy na pewno "Administracja" osiaga to co zamierza?
Łatwo krytykować!
Zachęcam do stworzenia prostszego, lepsze i skuteczniejszego zabezpieczenia!
key pisze:BTW: kazdemu kto boi sie zlamania hasla proponuje przeliczenie ile bedzie trwal brute force piecio literowego hasla z ograniczeniem 12 prob na godzine.
Jeszcze raz podkreślę, problemem nie jest to, że złamane zostaną hasła - ale to, że masowo blokowane są konta setki użytkowników w jednym czasie!
key pisze:Jesli juz upieramy sie przy captcha, to moze zalaczmy je dopiero po dwukrotnym wpisaniu zlego hasla? W ten sposob i wilk byl by syty i owca cala.
Zatem proszę poprawa skrypt jak masz wiedzę i wolny czas.
Pozdr, (R) BliSki. (tm)
Pytania dotyczące kwestii technicznych tylko na forum. Pamiętaj PW to nie helpdesk.
aplauz
Początkujący użytkownik forum
Posty: 1
Rejestracja: 2010-02-09, 17:47
Lokalizacja: Sulechów

Re: Nowści na forum - zabezpieczenia

Post autor: aplauz »

A może 3 normalne logowania, a po trzech błędnych hasłach żeby odpalała się dopiero Captcha? Kurcze nie doczytałem ostatniego posta. Ale to byłoby najrozsądniejsze rozwiązanie.
zDaleKi
Stary bywalec bezprzewodowy
Posty: 11508
Rejestracja: 2005-10-12, 11:18
Lokalizacja: Wrocław

Re: Nowści na forum - zabezpieczenia

Post autor: zDaleKi »

aplauz pisze:A może 3 normalne logowania, a po trzech błędnych hasłach żeby odpalała się dopiero Captcha?
Jak już napisałem.
Jeżeli ktoś z Was ma czas i ochotę tak przerobić skrypt to nie ma żadnego problemu aby tak zrobić. Ja też bym się z takiego rozwiązania ucieszył.
Pozdr, (R) BliSki. (tm)
Pytania dotyczące kwestii technicznych tylko na forum. Pamiętaj PW to nie helpdesk.
Awatar użytkownika
zefel
Stały użytkownik forum
Posty: 145
Rejestracja: 2010-12-26, 14:41
Lokalizacja: Śląsk

Re: Nowści na forum - zabezpieczenia

Post autor: zefel »

N a ty m capcie czy jak to sie tam zwie żeby były jakieś sensowne hasła bo nieraz przy dobrym zwroku nie idzie odczytać hasła. :szok:
Awatar użytkownika
wojteks
*** Administrator ***
Posty: 26110
Rejestracja: 2007-12-02, 11:51
Lokalizacja: PL

Re: Nowści na forum - zabezpieczenia

Post autor: wojteks »

zefel pisze:bo nieraz przy dobrym zwroku nie idzie odczytać hasła
Jakby to było do RSa czy innego składowiska plików to nikt by nie narzekał.
Nie pomagam na PW!
Awatar użytkownika
YaHooo
Guru bezprzewodowy
Posty: 17761
Rejestracja: 2008-01-02, 14:38
Lokalizacja: Białystok

Re: Nowści na forum - zabezpieczenia

Post autor: YaHooo »

zefel pisze:nieraz przy dobrym zwroku nie idzie odczytać hasła.
To proponuję poczytać co to jest reCaptha i się wyjaśni :hyhy:
Pozdrawiam YaHooo :)
> FAQ < > Limitowanie TTL < > Filtrowanie MAC < > Limit - miniFAQ <
> Udostępnianie połączenia internetowego iPlus w trybie Ad-hoc < > Połączenie Ad-hoc <
(iPlus7GB-30%) + (Sierra Wireless AC881) + (HP Compaq nx7300) + (200m od BTS'a) = (600kB/s)
zDaleKi
Stary bywalec bezprzewodowy
Posty: 11508
Rejestracja: 2005-10-12, 11:18
Lokalizacja: Wrocław

Re: Nowści na forum - zabezpieczenia

Post autor: zDaleKi »

zefel pisze:żeby były jakieś sensowne hasła
Są tam takie dwie strzałki i jeżeli nam nie odpowiada hasło, można zmienić na inne.
Jednocześnie informuję, że pracujemy nad innym rozwiązaniem bardziej przyjaznym dla Was.
Pozdr, (R) BliSki. (tm)
Pytania dotyczące kwestii technicznych tylko na forum. Pamiętaj PW to nie helpdesk.
Łukasz
Stały użytkownik forum
Posty: 89
Rejestracja: 2009-08-27, 00:50
Lokalizacja: Znienacka

Re: Nowści na forum - zabezpieczenia

Post autor: Łukasz »

A nie można ustawić tego w taki sposób by po kilku nieudanych próbach logowania była blokowana możliwość logowania (najlepiej na każde konto) z danego adresu IP na określony czas?
Awatar użytkownika
wojteks
*** Administrator ***
Posty: 26110
Rejestracja: 2007-12-02, 11:51
Lokalizacja: PL

Re: Nowści na forum - zabezpieczenia

Post autor: wojteks »

Łukasz pisze: z danego adresu IP na określony czas?
Baza zabronionych IP bardzo szybko się rozrośnie i nikt już nad tym nie będzie mógł zapanować. To co jest na obecną chwilę jest jedynie słuszne.
Nie pomagam na PW!
adamos22
Specjalista bezprzewodowy-senior
Posty: 474
Rejestracja: 2009-02-18, 11:23
Lokalizacja: Mazowsze

Re: Nowści na forum - zabezpieczenia

Post autor: adamos22 »

O, widzę że "pozycjonerze-spamerzy" nie tracą czasu. Ciekawe jak będzie wyglądał internet za kilka lat, jeżeli już teraz ataki BOTów są tak silnie odczuwalne, najgorsze jest to, że twórcy tych softów do spamowania i włamywania mają coraz więcej kasy i przy opracowywaniu algorytmów do spamowania pracują nawet wybitni ludzie z tytułami naukowymi co owocuje coraz większą skutecznością omijania zabezpieczeń.

obecnie najlepszą metodą na uniknięcie tego typu ataków jest zmiana wszystkiego co się da na niestandardowe dla popularnego skryptu - np. długości i nazw pół formularza, struktury adresów URL, ukrycie tzw. stopki (jeśli oczywiście licencja zezwala) no i inne zabezpieczenia, choć wiadomo jak jest.
Obecnie każda Captcha jest do złamania w 3 sekundy - Chińczycy przepisują to za ćwierć ziarnka ryżu, więc to też na dłuższą metę nie zadziała.

Ale trzeba walczyć, nie irytujcie się tak zabezpieczeniami bo gdyby nie one to połowa sieci była by zaśmiecona, a na pewno nie o to chodzi. Wierzę, że wkrótce Captcha zostanie zastąpiona czymś bardziej przyjaznym dla użytkownika i mniej dla wandali.
Awatar użytkownika
Adamgl
Specjalista bezprzewodowy-junior
Posty: 254
Rejestracja: 2007-04-19, 19:50
Lokalizacja: Gliwice

Re: Nowści na forum - zabezpieczenia

Post autor: Adamgl »

Ta ogromna ilość osób w "Przez ostatnie 12 godziny byli na forum" to robota botów czy tyle osób sie zalogowało po e-mailu z informacja o PW ;)
ja.michal
*Mistrz bezprzewodowy*
Posty: 22031
Rejestracja: 2006-08-14, 17:59
Lokalizacja: Polska

Re: Nowści na forum - zabezpieczenia

Post autor: ja.michal »

zefel pisze:N a ty m capcie czy jak to sie tam zwie żeby były jakieś sensowne hasła bo nieraz przy dobrym zwroku nie idzie odczytać hasła. :szok:
Co Wy jacyś niewidomi? Sorry, ale to jest do odczytania.
wojteks pisze: Jakby to było do RSa czy innego składowiska plików to nikt by nie narzekał.
Właśnie...


Już tak nie narzekajcie.
snap
Początkujący użytkownik forum
Posty: 2
Rejestracja: 2010-09-24, 08:22
Lokalizacja: wawa

Re: Nowści na forum - zabezpieczenia

Post autor: snap »

fajnie w tym temacie sobie poradził ND Forum: http://forum.dlapolski.pl/login.php
bez captchy i bezpiecznie
ja.michal
*Mistrz bezprzewodowy*
Posty: 22031
Rejestracja: 2006-08-14, 17:59
Lokalizacja: Polska

Re: Nowści na forum - zabezpieczenia

Post autor: ja.michal »

snap, o to przepisywanie chodzi? Co to za zabezpieczenie? I tak trzeba przepisać tak więc co za różnica czy capcha czy kawałek zdania?
snap
Początkujący użytkownik forum
Posty: 2
Rejestracja: 2010-09-24, 08:22
Lokalizacja: wawa

Re: Nowści na forum - zabezpieczenia

Post autor: snap »

bo tekst do przepisania jest ten sam. Zawsze. I na dodatek w operze można sobie zapamietac login, hasło oraz tekst. Szybko i sprawnie
key
*Mistrz bezprzewodowy*
Posty: 9565
Rejestracja: 2010-08-01, 18:30
Lokalizacja: Nürnberg

Re: Nowści na forum - zabezpieczenia

Post autor: key »

BliSki pisze: Zatem proszę poprawa skrypt jak masz wiedzę i wolny czas.
Nie mam anie wiedzy, ani wolnego czasu, ale daj te scrypty, przejze i moze cos wykombinuje. W sumie wszystko jest - zarowno blokowanie po 3-ciej probie jak i re-captcha, wystarczy tylko sprzegnac. Nie moze byc takie trudne.
Ostatnio zmieniony 2011-01-20, 22:18 przez key, łącznie zmieniany 1 raz.
ja.michal
*Mistrz bezprzewodowy*
Posty: 22031
Rejestracja: 2006-08-14, 17:59
Lokalizacja: Polska

Re: Nowści na forum - zabezpieczenia

Post autor: ja.michal »

snap pisze:bo tekst do przepisania jest ten sam. Zawsze.
I raz dwa bot to złamie, albo raz się mu to poda ręcznie i będzie leciał.
LegiaWarszawa
Stały użytkownik forum
Posty: 61
Rejestracja: 2010-03-02, 15:46
Lokalizacja: Warszawa

Re: Nowści na forum - zabezpieczenia

Post autor: LegiaWarszawa »

Najlepsze zabezpieczenie rowniez w polityce MS to odczekanie i mozliwosci ponownego logowania, lepiej ustalic haslo z zasadami bezpieczenstwa na wiecej niz 7 znakow na przyklad niz wpisywac te posrane obrazki:) Przynajmniej ja nie moge polowy rozczytac:)
Ale coz, to nie Wasza wina oczywiscie:)
Awatar użytkownika
YaHooo
Guru bezprzewodowy
Posty: 17761
Rejestracja: 2008-01-02, 14:38
Lokalizacja: Białystok

Re: Nowści na forum - zabezpieczenia

Post autor: YaHooo »

LegiaWarszawa pisze:Najlepsze zabezpieczenie rowniez w polityce MS to odczekanie i mozliwosci ponownego logowania,
Tak i bot lecąc po wszystkich userach na forum zablokuje wszystkim możliwość wejścia na forum przez określony czas ;)
Pozdrawiam YaHooo :)
> FAQ < > Limitowanie TTL < > Filtrowanie MAC < > Limit - miniFAQ <
> Udostępnianie połączenia internetowego iPlus w trybie Ad-hoc < > Połączenie Ad-hoc <
(iPlus7GB-30%) + (Sierra Wireless AC881) + (HP Compaq nx7300) + (200m od BTS'a) = (600kB/s)
ODPOWIEDZ