Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 31.07.2006, 00:13:48   #16 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.532
Standard

Natürlich muß es auch eine KID-Sperre geben eine KID-Sperre würde ja nicht langen, weil sonst würd eman über die ip erstmal kid x versuchen, dann kid y....

Also eine IP, Kid sperre, die getrennt von einander aber kombiniert funktioniert.
Ihr wisst wie ich das meine oder!?

Alos das sowohl geguckt wird bei der ip adresse wieviel fehlversuche als auch bei der kid...
Bsp

IP x 3 fheler, ip z 2 fehler jeweils kid 1 =>sperre
ip 5*fehler aber 1. id 2 2. id3 3.5 id 5 =>sperre
Bububoomt ist offline   Mit Zitat antworten
Alt 31.07.2006, 00:21:19   #17 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.532
Standard

Zitat:
Zitat von theHacker
Das is klasse. Ich kann ohne mich überhaupt anzumelden, beliebige User auf deiner Seite sperren:
Ich tu einfach 3x (neue IP holen und danach 5x Formular abschicken) und schon is der User gesperrt. Klasse, das wird ein Spaß
Tjo und wenn ich dann di IP weiter gebe an die staatsanwaltschaft!?!?

Außerdem kann man ja weiteren schutz einbauen, muß man denn alles vorher verraten??
Bububoomt ist offline   Mit Zitat antworten
Alt 31.07.2006, 00:35:20   #18 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Bububoomt
Tjo und wenn ich dann di IP weiter gebe an die staatsanwaltschaft!?!?
Ja klar. Die fragt dich dann erstmal, ob du noch ganz sauber bist
Ich begehe doch keine Straftat, wenn ich 15 HTTP-Requests an deine Seite schicke und du daraufhin einfach einen User sperrst
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 31.07.2006, 00:52:52   #19 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.532
Standard

Es hörte sich ja eben nach 1500 an und net nach 15...

Und was heißt hier sperren?? Wir haben doch hier von loginsperre für xx Zeot gesprochen... Ist ein kleiner aber feiner unterschied.

So ich verabschiede mich shcon mal in nen kleinen Urlaub...
Bububoomt ist offline   Mit Zitat antworten
Alt 31.07.2006, 12:41:15   #20 (permalink)
Neuer Benutzer

Reg: 31.07.2006
Beiträge: 1
Standard

Naja, einen perfekten Schutz gibt es nicht.

-Vorhin hat einer vorgeschlagen, den MD5-Hash nur ein mal abzurufen, und den dann in einer Session zu speichern und damit zu vergleichen. Mir sind bisher nur Session-Implementierungen bekannt, die die momentane Session anhand
* eines Cookies
* eines GET-Parameters o.ä. oder auch
* der IP
identifizieren. Ein böswilliger User könnte jetzt die Anfrage einfach per Hand (oder einem Script) an den Server POSTen, dabei keine Cookies mitgeben und auch keine Sessionid-Parameter. PHP-Sessions zum Beispiel würden sich dadurch IMHO jedes mal neu anlegen, und damit auch jedes mal den Hash abrufen.

-Eine IP-Sperre ist, besonders hier in Deutschland, auch nicht besonders effektiv. Wer es böse meint trennt eben die Verbindung nach jedem Versuch. Zur Not lässt sich das auch in ein Spam-Script einbauen (ich weiß nicht, ob Provider da eine Sperre vorschieben?).


Als Kompromiss, der mit momentanen EF-Mitteln möglich ist, wäre vielleicht eine Sperre nach KlammId, IP, und mit größerer "Kapazität" auch nach IP-Subnetz, alle drei unabhängig voneinander, denkbar. Alle Sperren natürlich nur temporär. Wenn einer gar keine Ruhe gibt, kann man ja die IPs von ihm verfolgen und entweder komplett sperren, oder nach dem ersten Fehlversuch direkt für 10 Stunden.

Und als absolute Notfallmaßnahme das komplette Deaktivieren der Registrierung (oder wo auch immer das Authing gebraucht wird) bei starkem Spam, wenn man die Felle davonschwimmen sieht. So ab 60 Anfragen pro Minute aufwärts, wenn das bei der Seite eher auf 0.1 Registrierungen pro Minute hinauslaufen sollte.

Aber man kann es auch übertreiben. Sobald dann ein Useraccount angelegt ist, kann man die Sperre einfach Account-Based anlegen, das macht dann keine Probleme mehr, da kann der so oft IP und Sessions wechseln, wie er lustig ist.
 
Anguished ist offline   Mit Zitat antworten
Alt 31.07.2006, 12:58:16   #21 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Klar kann man einem Betreiber den EF leer machen, wenn man 12386521x ein falsches LosePW eingibt. Aber die ganzen Sicherheitsmaßnahmen und Sperrmechanismen, die das verhindern, sollten meiner Meinung nach auf Betreiberseite realisiert werden.

Wenn hier 10000x validate.php aufgrufen wird - bitte.
Kann ja sein dass derjenige es so will.
 
klamm ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Lose für Verbesserungsvorschlag Bitfreezer Lose4Action 7 11.11.2007 09:38:46
5-100k für Verbesserungsvorschlag!! Bububoomt Lose4Action (erledigt) 7 01.12.2006 23:54:46
50k je guten Verbesserungsvorschlag. Bububoomt Lose4Action 50 06.07.2006 13:42:35
Verbesserungsvorschlag: WMS *abgelehnt* 27o8 Verbesserungsvorschläge 1 21.06.2006 00:39:16
Verbesserungsvorschlag zur urlaubsplanung. Liquid0815 Verbesserungsvorschläge 1 24.04.2006 14:36:20


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:30:49 Uhr.