How to become an author
Search
Write a publication
Pull to refresh

Comments 30

Чёрт знает что. А если теперь пароли станут подбирать перебором?
Rating is hidden
Используйте сложные пароли. Лично я рад подобным изменениям.
Rating is hidden
Я-то использую сложные. Но не за себя тревожусь. Как бы не оказаться в окружении зомбей со взломанными и похищенными личностями.
Rating is hidden
[оффтоп]
да, я себе так и представляю Ваш пароль (: — ѧѯѱѳѵѭMithgol_1978_ѣ
[/оффтоп]
Rating is hidden
>оказаться в окружении зомбей со взломанными и похищенными личностями
Вам бы сценарии к фильмам ужасов писать.
Rating is hidden
Капчу показывают сразу после первой попытки ввода неправильного пароля.
Rating is hidden
Вот это правильно. Я в большинстве случаев с первой попытки ввожу верно, зачем меня все эти годы заставляли вводить для этого капчу — непонятно. Вторая попытка — будьте добры, докажите человечность, презумция невиновности в действии.
Rating is hidden
Я, к примеру, как раз капчу с первого раза далеко не всегда вводил, а пароль правильно!

Не помню, какая фраза показывается при неправильном пароле, а вот «Неверный код защиты» отчетливо отпечаталась в голове.
Rating is hidden
Бха, а для этого ведется мониторинг (не человеком) и блокируется на несколько минут, если переизбыток активности. Тоже мне нашли проблему
Rating is hidden
А если через кучу разных проксей перебирать?
Rating is hidden
А какая разница? Неудачные попытки считаются относительно пользователя, а не источника входа.
Rating is hidden
А если по списку пользователей через прокси? ;)
Rating is hidden
В таком случае даже google analytics вам подскажет, что login page пользуется крайне большой популярностью ;)
Rating is hidden
Выход один — блокировать страницу логина =)
Rating is hidden
Ну тогда можно подбирать и пароль и пользователя одновременно.

А если я запущу перебор пароля некоего пользователя, то он сам не сможет залогиниться?
Rating is hidden
Именно так.

Так что если кому не нравится один из пользователей Хабрахабра, или даже целый десяток, то с сегодняшнего дня появилась простая бесхитростная возможность навсегда их отключить. Достаточно нехитрый скрипт зациклить.
Rating is hidden
Правда, я надеюсь, что создателям Хабрахабра всё же хватило ума не включать задержку повторного логина после ошибочного, так что нехитрый скрипт не сработает как способ готовой атаки на пользователя.
Rating is hidden
Просто включится капча. Аккаунт не блокируется, и пользователь сможет залогиниться. Максимальный дос, которого можно добиться брутом — это чтобы пользователь был вынужден вводить капчу при каждом входе.

Вот только неясно, что делать если производят брут, меняя при каждой попытке логин, пароль и прокси…
Rating is hidden
Хотя можно ещё показывать капчу при попытке входа с ip, с которого раньше не было успешных попыток входа — это защитит от мультиаккаунтного брута.

Но это не одобрят пользователи с динамическим ip.
Rating is hidden
UFO landed and left these words here
Думаю, сказать спасибо за возможность наконец авто-влогиниваться.
Rating is hidden
Спасибо, что хоть на «Вы». Извините за короткий топик, люблю лаконичность.

Интересный факт — недавно, когда инвайт был очень нужен, он нашелся в «непринятых». Человек не подтверждал около года. На тот email его уже видимо выслали.
Rating is hidden
Я не в упрек по поводу «короткий топик» — просто отключения капчи действительно многие ждали и повод для поста хороший. Но мы вчера умышленно не стали анонсировать его публично, чтобы лишний раз не привлекать внимания брутфорсеров.
Rating is hidden
Кто теперь ответит за годы введения капч?
Rating is hidden
Хех, я вчера когда логинился, испугался, нет капчи, подумал редирект какой произошёл, что попал на фишинговый сайт %) Несколько раз перечитал адрес в строке браузера.
Rating is hidden
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2025, Habr