1. Zuhause
  2. Frage und Antwort
  3. Wie wählt man eindeutig Benutzer, die versuchen, sich mehr als 10 Mal im Internet anmelden

Wie wählt man eindeutig Benutzer, die versuchen, sich mehr als 10 Mal im Internet anmelden

2012-04-11 5 views
0

Ich entwickelte derzeit eine Website, die mein Benutzer auf der Website anmelden muss. Wenn ein Benutzer kommt, erstelle ich einen Session für ihn/sie und spare Anzahl von Zeit + Zeit von erfolglosen Anmeldungen für ihn.Wenn Benutzer versuchen 5 Mal einloggen, zeige ich ihm CAPTCHA und zwingen ihn, CAPTCHA code.Now ich will, wenn Benutzer versuchen mehr als 10 Mal, umleiten ihn in eine einfache HTML Datei, die ihm zeigen, dass You are ban for 2 hours .Das Problem ist, wie ich einzigartigen Benutzer im Internet auswählen kann? Welche Informationen über Benutzer zusammen können einen eindeutigen Benutzer auswählen?Wie wählt man eindeutig Benutzer, die versuchen, sich mehr als 10 Mal im Internet anmelden

Quelle

2012-04-11 Arian

+0

Zuverlässig? Viel Glück damit. Es gibt keine Möglichkeit, die nicht von einem Benutzer mit dem richtigen Browser gefälscht werden kann. Nun, kurz vor dem IP-Verbot, aber selbst das verursacht Probleme mit Proxies, Anonymisierern ... im Prinzip jedem, der eine IP teilt. – cHao

+1

nicht verwandt - [CAPTCHA] (http://en.wikipedia.org/wiki/CAPTCHA) hat ein "T" –

+0

, also haben Sie Recht, aber es kann das Risiko von Angriffen verringern.es nicht wahr? – Arian

Antwort

1

Sie bitten den Benutzer, sich anzumelden. Es klingt also so, als hätten Sie bereits eine eindeutige Login-ID für jeden Benutzer. Ihr Anliegen ist es, zu verhindern, dass ein böswilliger Benutzer Ihr System unterbindet, einen anderen gültigen Benutzer auszuschließen während sie immer noch vor dem Knacken des Passwortes stehen bleiben. Ist das korrekt?

Sie können nicht mit absoluter Sicherheit verhindern, dass ein böswilliger Benutzer Ihr Intrusion Protection-Schema verwendet, um andere Benutzer zu stören. Wenn Sie jemanden sehen, der versucht, das Passwort eines anderen Benutzers zu erzwingen, dann können Sie diese IP-Adresse für einige Zeit sperren ... oder möglicherweise nur die IP-Adresse für dieses Konto ... aber Sie laufen Gefahr, ein böswilliger Benutzer hinter einer gemeinsam genutzten IP eines NAT-Gateways, wodurch alle anderen Benutzer hinter demselben Gateway gesperrt werden. Alle Informationen, die an Ihren Server gesendet werden, können gefälscht werden. Es ist also ein Balanceakt. Eine Kombination aus Benutzer-ID und IP-Adresse wäre nicht unbedingt in Bezug auf die Darstellung einer einzigartigen Person übertragbar, würde aber ausreichen, um die häufigsten Missbräuche zu verhindern.

Quelle

2012-04-11 06:12:49 phatfingers

0

Wenn der Benutzername in der Site eindeutig ist, können Sie die Kombination aus Benutzername und Sitzung verwenden, um den bestimmten Benutzer zu blockieren. Wenn der Benutzer 10 Mal den gleichen Benutzernamen von verschiedenen Computern verwendet, kann er blockiert werden.

Quelle

2012-04-11 05:58:00 Ram

+0

Ja, aber wenn der Benutzer ein * böser Mann * ist und er/sie versucht Benutzernamen, die nicht existieren, was kann ich tun? – Arian

+0

Jeder andere bösartige Angriff kann nicht vorher bestimmt werden, nur der wahrscheinlichste muss behandelt werden. – Ram

Verwandte Themen

 Verwandte Themen