XenForo Brute

Это не реклама! В данной теме поднимается вопрос о безопасности и защите форума от т. н. брута.

Есть такая программка, написанная умельцем. Интерфейс выглядит следующим образом:



Функционал:

Ну и несколько вопросов для размышления. Какой механизм использует данная программа? Насколько все плохо будет при атаке, каков результат? И, возможно ли, принять какие-либо меры с целью зашиты?

 

насколько я помню брут - это когда подбирают пароли к аккаунтам. соответственно защита просто хороший пароль, ну и можно капчу от гугла прикрутить к авторизации.

 

Форум не справится с нагрузкой и упадет. Пароли пострадают только если они есть в словаре. При этом перебор паролей займет прорву времени. Ничего серьезного.

Да, использовать капчу при входе.

 

Вам не кажется, что капча при входе это слишком? В булке есть настройка вроде "Максимальное количество попыток входа", после превышения значения пользователь получает временный бан. В ксене я такой не обнаружил. Где смотреть? И явиться ли это достаточной защитой, против подобного брута, ведь один из пунктов: Баз бана - каким свособом программа обходит бан?

 

меняет айпи или же куки я хз.

 

Админский акк всегда проще всего защищать через тот же .htaccess с привязкой к IP. А вот защитить пользователей намного сложнее.

 

Ещё раз вопрос знатокам. Есть ли в ксене возможность настроить максимальное количество попыток входа, после превышения которых последует бан (по ip или куки - на выбор админа)? Хотелось бы иметь защиту против программ с которыми справится каждый школьник. У булки она есть по дефолту, что с ксеном?

 

Форум после нескольких неудачных попыток входа будет требовать для всех запросов с ip-шника проверку капчей. Это исчерпывает проблему.

 

А если брут обходит капчу? И, ещё раз, есть ли возможность настроить количество попыток (если механизм такой существует, должна быть и возможность настройки. правильно?) И можно ли настроить так, чтобы юзер получал бан после определенного количества неверных попыток ввода капчи? или отключить капчу и сразу давать бан?

 

Рекапчу даже люди не всегда распознают, куда уж там ботам. Людей же для этого привлекать или сервисы типа Антигейта - слишком дорого. Настроек никаких нет, разработчики, видимо, сочли их ненужными, как и я.

 

Это фейл, конечно. Но, как видно из логического заключения выше, настроить параметр "нескольких заходов" все же можно, ведь он где-то да прописан. Вопрос где? Гляну на досуге и буду рад за наводку.

Плагинов на эту тему также нет? Всё таки бан по ip мне кажется лучшим решением этого вопроса.

 

Число попыток без капчи зашито в /library/XenForo/Model/Login.php, в функции requireLoginCaptcha. А бан - не решение, так как обычные пользователи по пьяни тоже могут много чего натворить.

 

Лично меня в булке он сильно злит. Так что это не решение, а один из вариантов всего лишь. Да и не такая уж редкость, когда за одним IP сидит некоторое количество пользователей.

 

Да, но в булке хотя бы есть выбор. Поскольку мера временная (читай минут на 15), этим пользователям большого вреда не будет.

maus, благодарю.

 

Попробовал. Чет нифига она не пашет. Тупой брут.