Nowści na forum - zabezpieczenia

[zDaleKi]

Witam.

Niestety musieliśmy na forum zastosować Captcha przy logowaniu się na forum.
Jest to spowodowane ostatnimi atakami na wiele for internetowych przez boty, w tym także na nasze.

Ataki te miały na celu przechwycenie kont użytkowników ale ich skutkiem ubocznym jest blokada bardzo dużej ilości kont a dłuższy okres czasu. Jest to spowodowane zabezpieczeniem forum, które po 4 nieudanych logowaniach blokuje konto.
Aby zatem nie dopuścić do blokady Waszych kont a tym bardziej do możliwości przejęcia konta wprowadziliśmy zabezpieczanie Captcha przy logowaniu.

Pragnę dodać, że wiemy jakie to jest uciążliwe i jeżeli tylko uda się opracować inne zabezpieczenie postaramy się wyłączyć Captcha. Zatem nie piszcie proszę o tym, że po co i dlaczego. Wiemy i chcemy to wyłączyć. Ale na chwilę obecną musimy podjąć takie kroki dla bezpieczeństwa forum. Zatem prosimy o wyrozumiałość.

Więcej na temat szalejących botów można poczytać tu: >Klik<

Jednocześnie przypomnę, że jeżeli ktoś korzysta tylko i wyłącznie z forum na własnym komputerze, to użycie opcji "Zaloguj mnie automatycznie przy każdej wizycie" pozwoli ograniczyć uciążliwość tego zabezpieczenia.

[key]

Wylaczcie prosze ten captcha. Wylaczenie mozliwosci logowania po trzech blednych probach na 15 minut skutecznie uniemozliwia wszelkie proby wlamania sie. Captcha powoduje calkowita niechec do zagladania na forum.

[Jo_gurt]

Wylaczenie mozliwosci logowania po trzech blednych probach na 15 minut skutecznie uniemozliwia wszelkie proby wlamania sie.

No właśnie może uniemożliwia włamanie się, natomiast próby jak najbardziej są możliwe. I to jest bolesne.

[krystianb]

Captcha powoduje calkowita niechec do zagladania na forum.

Ja wolę to, niż całkiem nie dostać się na konto. Jeśli bot się uprze na Twój nick, to cały czas nie będziesz miał dostępu do konta.

[key]

I to jest bolesne.

Co jest bolesnego w probach?

Jeśli bot się uprze na Twój nick, to cały czas nie będziesz miał dostępu do konta.

Watpie zeby ktokolwiek probowal sie uprzec na jednym niku - to nie ma najmniejszego sensu. A jesli nawet, to napisanie skryptu blokujacego przy tym rozwiazaniu tez nie jest problemem.

Dajcie przynajmniej mozliwosc bycia zameldowanym na stale z 5..8 IP.

[Digitall]

Ja również proponuję zastosowanie limitu logowań oraz limitu czasowego.
3 błędne loginy i 15 minut przerwy, a do tego miłe byłoby reaktywowanie konta poprzez kliknięcie linku w email o blokadzie i już po problemie... Niech sobie robot jedzie do woli..? - Chyba że faktycznie będzie jechał to konto cały czas, to wtedy się nie zalogujesz... No chyba że przez taki link (j/w opisany) zawarty w emailu o blokadzie..
Captcha jest denerwujące

[ryba825]

Co jest bolesnego w probach?

To że któraś może się w końcu zakończyć sukcesem.

[ Dodano: 2011-01-20, 16:39 ]

Captcha jest denerwujące

Niezastosowanie Captcha może grozić tym, że duża ilość użytkowników może mieć ciągle zablokowane konto, co może się wiązać ze zniechęceniem i zdenerwowaniem użytkowników, a to natomiast przeniesie się na administratorów, więc aby nie dopuścić do aż takiej sytuacji zostało wprowadzone dodatkowe zabezpieczenie.

[key]

To że któraś może się w końcu zakończyć sukcesem.

Taaaaaaaaa... przy dwunastu probach na godzine gratuluje wytrwalosci.

BTW: sprawdz sobie jakosc swojego hasla: https://passwortcheck.datenschutz.ch/check.php?lang=en - i zobacz ile czasu potrzebujesz na brute force twojego

BTW: sprobuj rowniez prostego do zapamietania "Kubus Puchatek" napisanego w wersji "Neo" -> Qu8u$_Puch4teq

[ryba825]

key, zabezpieczenie zostało wprowadzone i dopóki administracja nie zdecyduje się go zmienić/wyłączyć dopóty będzie.

[key]

No i co teraz? Mam siedziec cicho i nie marudzic na temat bezsensownych "ulepszen"?

Forum zyje z ludzi. A to ulepszenie zniecheca ludzi do wchodzenia na forum. Czy na pewno "Administracja" osiaga to co zamierza?

BTW: kazdemu kto boi sie zlamania hasla proponuje przeliczenie ile bedzie trwal brute force piecio literowego hasla z ograniczeniem 12 prob na godzine.

Jesli juz upieramy sie przy captcha, to moze zalaczmy je dopiero po dwukrotnym wpisaniu zlego hasla? W ten sposob i wilk byl by syty i owca cala.

[wojteks]

sprawdz sobie jakosc swojego hasla:

Wyszło mi "stark" to chyba dobre.

[zDaleKi]

Wylaczenie mozliwosci logowania po trzech blednych probach na 15 minut skutecznie uniemozliwia wszelkie proby wlamania sie.

I dzięki temu bot potrafi zablokować 200 - 300 kont w przeciągu paru minut.

Jeśli bot się uprze na Twój nick, to cały czas nie będziesz miał dostępu do konta.

Bot skanuje wszystkie konta po kolei. Zatem takie próby blokad mogłyby się powtarzać.
I problem dotyczy nie tylko naszego forum ale wielu innych. Dlatego takie a nie inne działania podjęliśmy.

Ja wolę to, niż całkiem nie dostać się na konto.

Dokładnie

Watpie zeby ktokolwiek probowal sie uprzec na jednym niku - to nie ma najmniejszego sensu. A jesli nawet, to napisanie skryptu blokujacego przy tym rozwiazaniu tez nie jest problemem.

Jeżeli napiszesz sprawny skrypt zabezpieczający to już teraz zachęcam.

Niezastosowanie Captcha może grozić tym, że duża ilość użytkowników może mieć ciągle zablokowane konto

O to właśnie chodzi.
Nikt z Was chyba nie byłby w stanie tych wszystkich mail, które dostali administratorzy przeczytać....

uża ilość użytkowników może mieć ciągle zablokowane konto, co może się wiązać ze zniechęceniem i zdenerwowaniem użytkowników, a to natomiast przeniesie się na administratorów, więc aby nie dopuścić do aż takiej sytuacji zostało wprowadzone dodatkowe zabezpieczenie.

O to właśnie chodzi.
Niestety inaczej admini tylko musieliby siedzieć i odpowiadać na maile przez całą dobę.

Forum zyje z ludzi. A to ulepszenie zniecheca ludzi do wchodzenia na forum. Czy na pewno "Administracja" osiaga to co zamierza?

Łatwo krytykować!
Zachęcam do stworzenia prostszego, lepsze i skuteczniejszego zabezpieczenia!

BTW: kazdemu kto boi sie zlamania hasla proponuje przeliczenie ile bedzie trwal brute force piecio literowego hasla z ograniczeniem 12 prob na godzine.

Jeszcze raz podkreślę, problemem nie jest to, że złamane zostaną hasła - ale to, że masowo blokowane są konta setki użytkowników w jednym czasie!

Jesli juz upieramy sie przy captcha, to moze zalaczmy je dopiero po dwukrotnym wpisaniu zlego hasla? W ten sposob i wilk byl by syty i owca cala.

Zatem proszę poprawa skrypt jak masz wiedzę i wolny czas.

[aplauz]

A może 3 normalne logowania, a po trzech błędnych hasłach żeby odpalała się dopiero Captcha? Kurcze nie doczytałem ostatniego posta. Ale to byłoby najrozsądniejsze rozwiązanie.

[zDaleKi]

A może 3 normalne logowania, a po trzech błędnych hasłach żeby odpalała się dopiero Captcha?

Jak już napisałem.
Jeżeli ktoś z Was ma czas i ochotę tak przerobić skrypt to nie ma żadnego problemu aby tak zrobić. Ja też bym się z takiego rozwiązania ucieszył.

[zefel]

N a ty m capcie czy jak to sie tam zwie żeby były jakieś sensowne hasła bo nieraz przy dobrym zwroku nie idzie odczytać hasła.

[wojteks]

bo nieraz przy dobrym zwroku nie idzie odczytać hasła

Jakby to było do RSa czy innego składowiska plików to nikt by nie narzekał.

[YaHooo]

nieraz przy dobrym zwroku nie idzie odczytać hasła.

To proponuję poczytać co to jest reCaptha i się wyjaśni

[zDaleKi]

żeby były jakieś sensowne hasła

Są tam takie dwie strzałki i jeżeli nam nie odpowiada hasło, można zmienić na inne.
Jednocześnie informuję, że pracujemy nad innym rozwiązaniem bardziej przyjaznym dla Was.

[Łukasz]

A nie można ustawić tego w taki sposób by po kilku nieudanych próbach logowania była blokowana możliwość logowania (najlepiej na każde konto) z danego adresu IP na określony czas?

[wojteks]

z danego adresu IP na określony czas?

Baza zabronionych IP bardzo szybko się rozrośnie i nikt już nad tym nie będzie mógł zapanować. To co jest na obecną chwilę jest jedynie słuszne.

[adamos22]

O, widzę że "pozycjonerze-spamerzy" nie tracą czasu. Ciekawe jak będzie wyglądał internet za kilka lat, jeżeli już teraz ataki BOTów są tak silnie odczuwalne, najgorsze jest to, że twórcy tych softów do spamowania i włamywania mają coraz więcej kasy i przy opracowywaniu algorytmów do spamowania pracują nawet wybitni ludzie z tytułami naukowymi co owocuje coraz większą skutecznością omijania zabezpieczeń.

obecnie najlepszą metodą na uniknięcie tego typu ataków jest zmiana wszystkiego co się da na niestandardowe dla popularnego skryptu - np. długości i nazw pół formularza, struktury adresów URL, ukrycie tzw. stopki (jeśli oczywiście licencja zezwala) no i inne zabezpieczenia, choć wiadomo jak jest.
Obecnie każda Captcha jest do złamania w 3 sekundy - Chińczycy przepisują to za ćwierć ziarnka ryżu, więc to też na dłuższą metę nie zadziała.

Ale trzeba walczyć, nie irytujcie się tak zabezpieczeniami bo gdyby nie one to połowa sieci była by zaśmiecona, a na pewno nie o to chodzi. Wierzę, że wkrótce Captcha zostanie zastąpiona czymś bardziej przyjaznym dla użytkownika i mniej dla wandali.

[Adamgl]

Ta ogromna ilość osób w "Przez ostatnie 12 godziny byli na forum" to robota botów czy tyle osób sie zalogowało po e-mailu z informacja o PW

[ja.michal]

N a ty m capcie czy jak to sie tam zwie żeby były jakieś sensowne hasła bo nieraz przy dobrym zwroku nie idzie odczytać hasła.

Co Wy jacyś niewidomi? Sorry, ale to jest do odczytania.

Jakby to było do RSa czy innego składowiska plików to nikt by nie narzekał.

Właśnie...


Już tak nie narzekajcie.

[snap]

fajnie w tym temacie sobie poradził ND Forum: http://forum.dlapolski.pl/login.php
bez captchy i bezpiecznie

[ja.michal]

snap, o to przepisywanie chodzi? Co to za zabezpieczenie? I tak trzeba przepisać tak więc co za różnica czy capcha czy kawałek zdania?

[snap]

bo tekst do przepisania jest ten sam. Zawsze. I na dodatek w operze można sobie zapamietac login, hasło oraz tekst. Szybko i sprawnie

[key]

Zatem proszę poprawa skrypt jak masz wiedzę i wolny czas.

Nie mam anie wiedzy, ani wolnego czasu, ale daj te scrypty, przejze i moze cos wykombinuje. W sumie wszystko jest - zarowno blokowanie po 3-ciej probie jak i re-captcha, wystarczy tylko sprzegnac. Nie moze byc takie trudne.

[ja.michal]

bo tekst do przepisania jest ten sam. Zawsze.

I raz dwa bot to złamie, albo raz się mu to poda ręcznie i będzie leciał.

[LegiaWarszawa]

Najlepsze zabezpieczenie rowniez w polityce MS to odczekanie i mozliwosci ponownego logowania, lepiej ustalic haslo z zasadami bezpieczenstwa na wiecej niz 7 znakow na przyklad niz wpisywac te posrane obrazki:) Przynajmniej ja nie moge polowy rozczytac:)
Ale coz, to nie Wasza wina oczywiscie:)

[YaHooo]

Najlepsze zabezpieczenie rowniez w polityce MS to odczekanie i mozliwosci ponownego logowania,

Tak i bot lecąc po wszystkich userach na forum zablokuje wszystkim możliwość wejścia na forum przez określony czas