Pilat 2 января 2010 в 14:37
24. Принимайте меры против подбора пароля.
Задержка входа – простейший, но при этом уже достаточно неслабый способ. Сведет на нет ручной перебор и автоматический однопоточный перебор с одного компьютера.
только задосить такой сайт – дело минут.
DJ-Andrey-sXe 3 января 2010 в 06:32
Pilat, 24-й пункт непростой, если следовать только его части, то это реально чревато и DoS и нежелательными блокировками. А если всё продумано и предусмотрено, то попытавшийся положить сервер атакой на задержку входа (полагаю, вы имели ввиду, рассчитывая израсходовать ресурсы или их лимиты, многопоточно калбася скрипты, не дожидаясь ответа) очень быстро влетит в бан по порогу «Requests per second» на заслуженный отдых.
Мой друг как-то предложил идею хранить месяц истории попаданий в бан и если побывавший в бане IP снова возжелал покрошить сервер, то новый бан следует выдавать на более длительный срок. Например, вернулся после 5 минут – выдаём 10, вернулся ещё раз – 30, ещё – 2 часа, ещё – сутки. Ну, если уж делать, то что в веб-морде должен быть список банов с функцией преждевременного снятия, это, думаю, и так понятно.
KoXX 4 января 2010 в 02:55
Интересно, а главное познавательно Спасибо :)
Willie 7 января 2010 в 04:23
Ну наконец! Свежая инфа. Как раз доклад делаю по смежной теме
Zenon 8 января 2010 в 12:40
Спасибо. Очень понравилось :)
Vavila 8 января 2010 в 14:09
Да, а ведь написано действительно хорошо..
Paul 13 марта 2010 в 14:16
Вообще, если всё это реализовать, уйдёт очень много времени.
DJ-Andrey-sXe 13 марта 2010 в 21:26
Paul,
1) Не каждый проект требует выполнения всех пунктов подряд. Элементарно может не быть таких функций, которые потребовали бы именно такого типа защиты или специфика может освободить от выполнения многих пунктов.
2) Защита – важная вещь, не стоит жалеть на неё времени. Потому что когда проект сломают, сразу станет понятно, что время потратить всё-таки стоило.
3) Если защищать по полной программе первый проект, это трудно. Второй и последующие защищаются частично прямо во время написания, когда правила уже в голове, частично после, заимствованием своего же собственного кода из предыдущих защищённых проектов. Таким образом экономится время.
DJ-Andrey-sXe 7 августа 2010 в 21:45
Старая версия с 18 пунктами (та, что первая публичная, аккуратная, без этих свежих добавок с TODO) всё-таки сохранилась: http://web.archive.org/web/20080214113508/http://rusdj.chat.ru/articles/perl-webapp-protection/perl-webapp-protection.html http://web.archive.org/web/20080214113508/http://rusdj.chat.ru/articles/perl-webapp-protection/perl-webapp-protection.html
Alex 12 ноября 2010 в 23:29
К пункту 21. Да, наличие файла robots.txt более чем необходимо.
Arch 3 декабря 2010 в 03:21
Cтатья отличная, много почерпнул, много переосмыслил. СПАСИБО за материал!
DJ-Andrey-sXe 19 декабря 2010 в 23:54
На основе статьи сделан подкаст.
TODO: на хабр (не взяли), на арпод, на опеннет, в ][, и прочие годные журналы. И неплохо бы якори развесить по пунктам, чтобы давать ссылки можно было удобно, сразу на пункт.