Комментарии

Pilat 2 января 2010 в 14:37

24. Принимайте меры против подбора пароля.

Задержка входа – простейший, но при этом уже достаточно неслабый способ. Сведет на нет ручной перебор и автоматический однопоточный перебор с одного компьютера.

только задосить такой сайт – дело минут.


DJ-Andrey-sXe 3 января 2010 в 06:32

Pilat, 24-й пункт непростой, если следовать только его части, то это реально чревато и DoS и нежелательными блокировками. А если всё продумано и предусмотрено, то попытавшийся положить сервер атакой на задержку входа (полагаю, вы имели ввиду, рассчитывая израсходовать ресурсы или их лимиты, многопоточно калбася скрипты, не дожидаясь ответа) очень быстро влетит в бан по порогу «Requests per second» на заслуженный отдых.

Мой друг как-то предложил идею хранить месяц истории попаданий в бан и если побывавший в бане IP снова возжелал покрошить сервер, то новый бан следует выдавать на более длительный срок. Например, вернулся после 5 минут – выдаём 10, вернулся ещё раз – 30, ещё – 2 часа, ещё – сутки. Ну, если уж делать, то что в веб-морде должен быть список банов с функцией преждевременного снятия, это, думаю, и так понятно.


KoXX 4 января 2010 в 02:55

Интересно, а главное познавательно Спасибо :)


Willie 7 января 2010 в 04:23

Ну наконец! Свежая инфа. Как раз доклад делаю по смежной теме


Zenon 8 января 2010 в 12:40

Спасибо. Очень понравилось :)


Vavila 8 января 2010 в 14:09

Да, а ведь написано действительно хорошо..


Paul 13 марта 2010 в 14:16

Вообще, если всё это реализовать, уйдёт очень много времени.


DJ-Andrey-sXe 13 марта 2010 в 21:26

Paul,

1) Не каждый проект требует выполнения всех пунктов подряд. Элементарно может не быть таких функций, которые потребовали бы именно такого типа защиты или специфика может освободить от выполнения многих пунктов.

2) Защита – важная вещь, не стоит жалеть на неё времени. Потому что когда проект сломают, сразу станет понятно, что время потратить всё-таки стоило.

3) Если защищать по полной программе первый проект, это трудно. Второй и последующие защищаются частично прямо во время написания, когда правила уже в голове, частично после, заимствованием своего же собственного кода из предыдущих защищённых проектов. Таким образом экономится время.


DJ-Andrey-sXe 7 августа 2010 в 21:45

Старая версия с 18 пунктами (та, что первая публичная, аккуратная, без этих свежих добавок с TODO) всё-таки сохранилась: http://web.archive.org/web/20080214113508/http://rusdj.chat.ru/articles/perl-webapp-protection/perl-webapp-protection.html http://web.archive.org/web/20080214113508/http://rusdj.chat.ru/articles/perl-webapp-protection/perl-webapp-protection.html


Alex 12 ноября 2010 в 23:29

К пункту 21. Да, наличие файла robots.txt более чем необходимо.


Arch 3 декабря 2010 в 03:21

Cтатья отличная, много почерпнул, много переосмыслил. СПАСИБО за материал!


DJ-Andrey-sXe 19 декабря 2010 в 23:54

На основе статьи сделан подкаст.

TODO: на хабр (не взяли), на арпод, на опеннет, в ][, и прочие годные журналы. И неплохо бы якори развесить по пунктам, чтобы давать ссылки можно было удобно, сразу на пункт.

Загрузка...