ru.nethack

 
 - RU.NETHACK -------------------------------------------------------------------
 From : Dmitry Radishev                      2:5015/42      03 Jun 2003  10:04:13
 To : Ilya Teterin
 Subject : C точки зpения закона...
 -------------------------------------------------------------------------------- 
 

 
 Monday June 02 2003 14:02, Ilya Teterin wrote to Alexander Shevchenko:
 
  IT> Блокировка через слип - плохая идея по другой причине. Hикто не мешает
  IT> открыть 1000 соединений (пусть со 100 разных ип) и перебирать пароли с
  IT> той же самой скоростью, что было бы без слипа.
 
  Ограничение количества одновременно идущих попыток авторизации с одного IP.
 
  IT> Как бы я реализовал блокировку? Вот почти готовый алгоритм. Желающим
  IT> придраться просьба читать внимательно и до конца.
 
  IT> 1. Запросы на авторизацию идентифицируются по (IP,login) и
  IT> складываются в список. 2. Ведется статистика по времени последней
  IT> попытки авторизации для каждого логина 3. Ведется статистика по
  IT> количеству запросов, выполненых для (IP,login) 4. Запросы на
  IT> авторизацию к заданному логину можно выполнять не чаще, чем раз в H
  IT> секунд на основе статистики из (2). Строится список логинов, для
  IT> которых можно выполнять авторизацию. 5. Для каждого логина из списка
  IT> (4) в списке (1) находится запрос, который выполнялся реже всего - на
  IT> основе статистики (3). Этот запрос и выполняется.
 
  Сложно. Это раз. Ограничение попыток _любой_ авторизации с заданного ip,
 вместе с задержкой подтверждения авторизации - проще и эффективней.
  Логин, согласно (4), _блокируется_ на несколько секунд. Практически это
 означает, что создав поток попыток авторизации какого-то логина - этот логин
 будет блокироваться через доли секунды после разблокировки, и законный владелец
 авторизоваться не сможет.
 
  IT> Итог: брутфорсер не сможет ни подбирать пароли с приемлимой
  IT> скоростью,
  IT> ни заблокировать работу легального пользователя сервиса.
 
  Сможет. Либо ты не полностью описал свой алгоритм.
 
  IT>  В худшем случае, если брутфорсер находится на том же ИП, что и
  IT> легальный пользователь, время авторизации лишь замедлится.
 
  Hе "несколько замедлится", а 99.9% попыток авторизации будут отметаться ещё до
 ввода пароля. Попыток авторизации _владельцем логина_.
 
 All the best //DiBR                        [TEAM ВСЕ МАСТДАЙ] [шестая базовая]
                                                          [http://dibr.nnov.ru]
 
 --- [LPT] LaMerZ PrOfeSsIoNaL TeaM  /member/
  * Origin: under construction (2:5015/42)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    C точки зpения закона...   Alexander Shevchenko   02 Jun 2003 11:26:44   C точки зpения закона...   Ilya Teterin   02 Jun 2003 15:02:22   C точки зpения закона...   Dmitry Radishev   03 Jun 2003 10:04:13   C точки зpения закона...   Ilya Teterin   04 Jun 2003 09:31:55   Re: C точки зpения закона...   Vladimir V. Ivanov   04 Jun 2003 10:55:56   Re: C точки зpения закона...   Ilya Teterin   04 Jun 2003 11:46:09   Re: C точки зpения закона...   Vladimir V. Ivanov   04 Jun 2003 12:08:36   Re: C точки зpения закона...   Ilya Teterin   04 Jun 2003 12:54:42   Re: C точки зpения закона...   Vladimir V. Ivanov   04 Jun 2003 14:01:33   Re: C точки зpения закона...   Ilya Teterin   04 Jun 2003 14:23:38   Re: C точки зpения закона...   Vladimir V. Ivanov   04 Jun 2003 16:50:19   Re: C точки зpения закона...   Ilya Teterin   04 Jun 2003 17:12:52   Re: C точки зpения закона...   Vladimir V. Ivanov   04 Jun 2003 17:44:37   Re: C точки зpения закона...   Ilya Teterin   04 Jun 2003 18:05:10   Re: C точки зpения закона...   Vladimir V. Ivanov   04 Jun 2003 18:59:25   Re: C точки зpения закона...   Ilya Teterin   04 Jun 2003 19:57:16   Re: C точки зpения закона...   Spartak Radchenko   02 Jun 2003 19:43:18