Эта тема на forum.dklab.ru


Zivas: Прошу помочь с защитой от брутфорса
Здравствуйте, есть обычная, стандартная форма авторизации пользователя, т.е. Логин и Пароль, если пользователь вводит логин и пароль, то он проверяется на длину, если длина больше 10 символов то exit, потом проверяется то что пользователь ввел в форму, если он не соответствует preg_match("/^+$/",$_POST['login'], то exit, если сответствует, то проверяется существование этого пользователя в БД, если совпаде6ние есть, то из БД извлекается md5 хешь пароля и сверяется с md5 только что введенного пароля, если соответствует то Здравствуй иначе пошел вон!), Запарка с 2-мя вопросами, как грамотно составить куку для пользователя, так что если она украдена, то на другом компе она просто не заработает, и 2-е как защитить форму от брут форса не используя Джаваскрипт?
З.Ы. Кука живет 6 часов
P/s В принцепе защита от воровства может быть такая, берем ИП адрес пользователя к нему клеим строчку браузера и еще какойнить параметр, потом вычесляем md5 этой строчки пишем это в куку, если кука есть проверяем эту строчку, если совпало пускаем если нет то иди вон)
Собствено такой вопрос, если в форуме есть готовое решени то ткните носом т.к. поиск ничего не дал, причем даже в гугле(((
dimagolov:
очень просто. неудачную попытку логина записываем в лог и если идет повторная, то проверяем, чтобы прошло не меннее N секунд (если меньше, то просто отлуп, без проверки). На стороне клиента делаем чуть большую задержку через META показывая "Вы набрали неправильный пароль, подождите, пока сможете повторить попытку". Ну задержки можно увеличивать с каждой попытки и скажем после 3-й.

Эта тема на forum.dklab.ru