1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

XenForo Brute

Тема в разделе "OFF-топик", создана пользователем Finelai, 9 июл 2012.

Загрузка
  1. Finelai

    Finelai Местный

    Регистрация:
    22.06.12
    Сообщения:
    100
    Симпатии:
    11
    Версия XF:
    1.1.3
    Это не реклама! В данной теме поднимается вопрос о безопасности и защите форума от т. н. брута.

    Есть такая программка, написанная умельцем. Интерфейс выглядит следующим образом:

    1597148.png

    Функционал:
    Ну и несколько вопросов для размышления. Какой механизм использует данная программа? Насколько все плохо будет при атаке, каков результат? И, возможно ли, принять какие-либо меры с целью зашиты?
     
  2. Инквизитор

    Инквизитор Местный

    Регистрация:
    14.02.11
    Сообщения:
    162
    Симпатии:
    34
    Версия XF:
    1.1.2
    насколько я помню брут - это когда подбирают пароли к аккаунтам. соответственно защита просто хороший пароль, ну и можно капчу от гугла прикрутить к авторизации.
     
  3. maus

    maus Местный

    Регистрация:
    27.03.12
    Сообщения:
    187
    Симпатии:
    128
    Форум не справится с нагрузкой и упадет. Пароли пострадают только если они есть в словаре. При этом перебор паролей займет прорву времени. Ничего серьезного.
    Да, использовать капчу при входе.
     
  4. Finelai

    Finelai Местный

    Регистрация:
    22.06.12
    Сообщения:
    100
    Симпатии:
    11
    Версия XF:
    1.1.3
    Вам не кажется, что капча при входе это слишком? В булке есть настройка вроде "Максимальное количество попыток входа", после превышения значения пользователь получает временный бан. В ксене я такой не обнаружил. Где смотреть? И явиться ли это достаточной защитой, против подобного брута, ведь один из пунктов: Баз бана - каким свособом программа обходит бан?
     
  5. Инквизитор

    Инквизитор Местный

    Регистрация:
    14.02.11
    Сообщения:
    162
    Симпатии:
    34
    Версия XF:
    1.1.2
    меняет айпи или же куки я хз.
     
  6. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.322
    Версия XF:
    1.5.9
    Админский акк всегда проще всего защищать через тот же .htaccess с привязкой к IP. А вот защитить пользователей намного сложнее.
     
  7. Finelai

    Finelai Местный

    Регистрация:
    22.06.12
    Сообщения:
    100
    Симпатии:
    11
    Версия XF:
    1.1.3
    Ещё раз вопрос знатокам. Есть ли в ксене возможность настроить максимальное количество попыток входа, после превышения которых последует бан (по ip или куки - на выбор админа)? Хотелось бы иметь защиту против программ с которыми справится каждый школьник. У булки она есть по дефолту, что с ксеном?
     
  8. maus

    maus Местный

    Регистрация:
    27.03.12
    Сообщения:
    187
    Симпатии:
    128
    Форум после нескольких неудачных попыток входа будет требовать для всех запросов с ip-шника проверку капчей. Это исчерпывает проблему.
     
    CyberAP нравится это.
  9. Finelai

    Finelai Местный

    Регистрация:
    22.06.12
    Сообщения:
    100
    Симпатии:
    11
    Версия XF:
    1.1.3
    А если брут обходит капчу? И, ещё раз, есть ли возможность настроить количество попыток (если механизм такой существует, должна быть и возможность настройки. правильно?) И можно ли настроить так, чтобы юзер получал бан после определенного количества неверных попыток ввода капчи? или отключить капчу и сразу давать бан?
     
  10. maus

    maus Местный

    Регистрация:
    27.03.12
    Сообщения:
    187
    Симпатии:
    128
    Рекапчу даже люди не всегда распознают, куда уж там ботам. Людей же для этого привлекать или сервисы типа Антигейта - слишком дорого. Настроек никаких нет, разработчики, видимо, сочли их ненужными, как и я.
     
    Инквизитор нравится это.
  11. Finelai

    Finelai Местный

    Регистрация:
    22.06.12
    Сообщения:
    100
    Симпатии:
    11
    Версия XF:
    1.1.3
    Это фейл, конечно. Но, как видно из логического заключения выше, настроить параметр "нескольких заходов" все же можно, ведь он где-то да прописан. Вопрос где? Гляну на досуге и буду рад за наводку.

    Плагинов на эту тему также нет? Всё таки бан по ip мне кажется лучшим решением этого вопроса.
     
  12. maus

    maus Местный

    Регистрация:
    27.03.12
    Сообщения:
    187
    Симпатии:
    128
    Число попыток без капчи зашито в /library/XenForo/Model/Login.php, в функции requireLoginCaptcha. А бан - не решение, так как обычные пользователи по пьяни тоже могут много чего натворить.
     
    Finelai нравится это.
  13. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.322
    Версия XF:
    1.5.9
    Лично меня в булке он сильно злит. Так что это не решение, а один из вариантов всего лишь. Да и не такая уж редкость, когда за одним IP сидит некоторое количество пользователей.
     
  14. Finelai

    Finelai Местный

    Регистрация:
    22.06.12
    Сообщения:
    100
    Симпатии:
    11
    Версия XF:
    1.1.3
    Да, но в булке хотя бы есть выбор. Поскольку мера временная (читай минут на 15), этим пользователям большого вреда не будет.

    maus, благодарю.
     
  15. SeM13

    SeM13 Создатель системы

    Регистрация:
    05.01.11
    Сообщения:
    747
    Симпатии:
    252
    Версия XF:
    1.1.3
    Попробовал. Чет нифига она не пашет. Тупой брут.
     

Поделиться этой страницей