Комментарии 28
Есть глубокий смысл в том, чтобы неоднократно требовать капчу при попытках ввода пароля, так как иначе робот сможет быстро-быстро подобрать пароль.
Скажем, если спрашивать только первый раз,то достаточно будет злоумышленнику один раз указать капчу, а затем оставить за себя робота подбирать пароль.
Скажем, если спрашивать только первый раз,
+2
Так в чем проблема отлавливать попытки брутфорса и начинатьп оказывать капчу после 3-4 неправильной попытки.
Я почему-то уверен, что робот с 3 попыток не угадает пароль lksjdh14%^
Я почему-то уверен, что робот с 3 попыток не угадает пароль lksjdh14%^
+1
НЛО прилетело и опубликовало эту надпись здесь
Нередко встречаю обратную реализацию: ввёл пароль 2-3 раза неверно — вводи капчу. Вводить капчу для логина сразу — имхо не блещет рациональностью.
+4
Прозреваю, что тогда робот будет три раза пытаться, затем стирать cookies и вдругорядь пытаться. Небезопасно!
-2
Он будет стирать cookies и смотреть на капчу. Потому что первый раз капча таки показывается. И перестает показываться только после правильного набора на время жизни сесси или до подозрительного поеведения (попытка брутфорса пароля, например).
0
А вообще, чуть выше предложили идеальный вариант. Не показывать сразу капчу. Неправильно ввел пароль пару раз — вводи капчу.
0
на это и ответил Mithgol:
«Прозреваю, что тогда робот будет три раза пытаться, затем стирать cookies и вдругорядь пытаться. Небезопасно!»
«Прозреваю, что тогда робот будет три раза пытаться, затем стирать cookies и вдругорядь пытаться. Небезопасно!»
0
Можно хранить в той-же $_SESSION количество неверных попыток логина, основываясь на которых и отображать капчу.
0
учи матчасть.
-3
$_SESSION — это те-же куки.
-3
Сначала вы выучите её
0
Можно поподробней? В чем я неправ?
0
в том что сессии и куки это не одно и тоже. куки хранятся на стороне клиента, сессии на сервере. вот и всё впринципе.
0
А как сервер сопоставляет сессию с клиентом просвятите пожалуйста.
0
либо через куку, либо через PHPSESSID. Не обязательно включать куки чтобы сессии заработали.
может вы мануал прочитаете? phpfaq.ru/sessions
может вы мануал прочитаете? phpfaq.ru/sessions
0
В принципе вы могли не привязыватся конкретно к PHP, в ASP.NET тоже самое, либо кука, либо урл и в JAVA я думаю также. А суть тут в том, что этот самый Id находится в юрисдикции клиента, т.е. в данном случае бота — убил Id значит убил сессию.
0
убил куку — убил код капчи — значит вводить её заново — применительно к статье
0
извиняюсь, не к статье, а к коментарию enlightened.habrahabr.ru/blog/64291/?reply_to=1792385#comment_1788351
0
не к тому комментарию, а к этому enlightened.habrahabr.ru/blog/64291/#comment_1788463
PS. Это всё ЖАРА ))
PS. Это всё ЖАРА ))
0
Как я понял ветка началась с сообщения: «А вообще, чуть выше предложили идеальный вариант. Не показывать сразу капчу. Неправильно ввел пароль пару раз — вводи капчу.»
0
В принципе вы могли не привязыватся конкретно к PHP, в ASP.NET
Ну да ))) что-то не подумал что тут впринципе про метод, не привязываясь к языку ))
0
попытки входа можно хранить не только в куках.
Если их хранить в базе — настоящему владельцу при попытке взлома придется вводить капчу. Или обнулять их через некоторое время. Тогда владелец возможно даже ничего не заметит.
Если их хранить в базе — настоящему владельцу при попытке взлома придется вводить капчу. Или обнулять их через некоторое время. Тогда владелец возможно даже ничего не заметит.
0
Еще одно исключение — модуль Captcha для CMF Drupal. Там подобное поведение настраивается.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Captcha и юзабилити