Proteger login contra bruteforcers

Iniciado por pedrox@, 27 Febrero 2009, 00:22 AM

0 Miembros y 1 Visitante están viendo este tema.

[u]nsigned

Cita de: naderST en 28 Febrero 2009, 18:15 PM
... lo que te recomendaria seria usar una base de datos, todo lo que sea del lado del cliente sera "violable" por decirlo así.

Para mi con captcha alzanza, yo estuve tratando de violar este metodo y no se me ocurrio nada simple. Es decir el atacante nesesitaria un script o lo que sea capas de identificar caracteres en una imagen...y eso no es algo que se vea todo los dias... ;D

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

Spider-Net

http://www.google.es/search?hl=es&q=break+captcha&btnG=Buscar&meta=

No creas que es tan difícil si buscas un rato por internet. Hay sitios donde explican paso a paso como romper un captcha, pero bueno al menos sabes que cualquiera no podrá saltárselo.

Saludos.

naderST

[quote author=nsigned link=topic=246658.msg1188917#msg1188917 date=1235870175]
Cita de: naderST en 28 Febrero 2009, 18:15 PM
... lo que te recomendaria seria usar una base de datos, todo lo que sea del lado del cliente sera "violable" por decirlo así.

Para mi con captcha alzanza, yo estuve tratando de violar este metodo y no se me ocurrio nada simple. Es decir el atacante nesesitaria un script o lo que sea capas de identificar caracteres en una imagen...y eso no es algo que se vea todo los dias... ;D
[/quote]

Si con el captcha estaria bien, bueno ya tiene varias opciones para escojer  ::)

pedrox@

Como hariais lo del campo oculto con una sesion?

Saludos y gracias por las respuestas.

naderST

Cita de: pedrox@ en  2 Marzo 2009, 01:45 AM
Como hariais lo del campo oculto con una sesion?

Saludos y gracias por las respuestas.

mmm imagino que sería creando una session llamada intentos por ejemplo... y cada intento fallido modificas la session y si por ej la session ya es 5 baneas la ip o algo asi xD que se yo hay tantas maneras!

Karman

utiliza el método de número aleatorio + sesión... cada ves que un usuario descarga tu formulario imprime en el un número aleatorio cifrado con md5 y guarda dicho número en una variable de sesión, cuando se envían los datos cifra el que tienes en sesión y tiene que ser igual al del formulario, si intenta clonar el formulario, nunca va a poder saber cual es el número que el código espera, ese es el método que utilizan la mayoría de los cms...

S2