Форум Flasher.ru
Ближайшие курсы в Школе RealTime
Список интенсивных курсов: [см.]  
  
Специальные предложения: [см.]  
  
 
Блоги Правила Справка Пользователи Календарь Поиск рулит! Сообщения за день Все разделы прочитаны
 

Вернуться   Форум Flasher.ru > Архив Flasher.ru > Программирование > PHP

Версия для печати  Отправить по электронной почте    « Предыдущая тема | Следующая тема »  
Опции темы Опции просмотра
 
Создать новую тему  
Старый 24.10.2004, 21:52
Flesh5 вне форума Посмотреть профиль Отправить личное сообщение для Flesh5 Посетить домашнюю страницу Flesh5 Найти все сообщения от Flesh5
  № 11  
Flesh5

Регистрация: Jun 2002
Сообщений: 226
Отправить сообщение для Flesh5 с помощью ICQ
Согласен с вами по поводу IP адреса, возможность использования прокси сервера мне в голову не пришла.
У нас мне кажется появились разногласия потому что вы меня не совсем правильно поняли! Контролировать пользователя для меня не составляет труда. Я это делаю с помощью сессий!
Проблема у меня в другом! Пользователь имеет свое имя и пароль, который вполне возможно попытается использовать злоумышленник! По этой причине я пытаюсь запретить вход на сайт двум пользователям с одним паролем, что означает если кто-то зашел на сайт с этим паролем, пока он еще на сайте другим пользователям с этим паролем заход запрещен!
Меня интересует вопрос как это можно осуществить? Или как можно проверить является ли пользователь в OnLine или он уже ушел?
Пожалуйста используйте более понятную лексику! А то мне приходится несколько раз перечитывать ваш пост чтобы понять о чем идет речь :-)
"Я ж говорю: бизнес-процесс "спроектирован" в условиях незнакомства с реалиями протокола HTTP."
Что именно надо разобрать, прочесть?
П.С. Мне кажется вы припадаете в университете! Потому что такими терминами разговаривают только лектора! :-)

Старый 24.10.2004, 22:01
Crazy вне форума Посмотреть профиль Отправить личное сообщение для Crazy Посетить домашнюю страницу Crazy Найти все сообщения от Crazy
  № 12  
Crazy
[+1 23.05.11]
 
Аватар для Crazy

Регистрация: Dec 2001
Сообщений: 4,159
Цитата:
Оригинал написал(а) Flesh5
Пользователь имеет свое имя и пароль, который вполне возможно попытается использовать злоумышленник!
Это, мягко говоря, противоречит сказанному тобой ранее. Но раз уж ты хочешь поменять условие решаемой задачи -- пусть так.

Начнем с начала: как логин и пароль попадают к злоумышленнику?
__________________
GIT d++ s++:++ a C++$ UB++ P++ L+ E+ W+++ N++ w++ O+ M V- t-- 5-- X+ R+++ tv- b+++ D++

Старый 24.10.2004, 22:11
nagash вне форума Посмотреть профиль Отправить личное сообщение для nagash Посетить домашнюю страницу nagash Найти все сообщения от nagash
  № 13  
nagash
Ветеран форума
 
Аватар для nagash

Регистрация: Jul 2001
Адрес: Москва
Сообщений: 3,088
Отправить сообщение для nagash с помощью ICQ
дополнительный вопрос из зала...
а если злоумышлинник зайдёт первым?
мы не будем пускать честного?

Старый 24.10.2004, 22:43
Flesh5 вне форума Посмотреть профиль Отправить личное сообщение для Flesh5 Посетить домашнюю страницу Flesh5 Найти все сообщения от Flesh5
  № 14  
Flesh5

Регистрация: Jun 2002
Сообщений: 226
Отправить сообщение для Flesh5 с помощью ICQ
Цитата:
дополнительный вопрос из зала...
а если злоумышленник зайдёт первым?
мы не будем пускать честного?
Если мы это узнаем то дадим честному пользователю отправить письмо администратору который при подтверждении данной информации сменит пароль и забанит IP злоумышленника! Если будет 5 попыток злоумышленника то пароль автоматом сменивается и отправляется пользователю на почтовый ящик!

Цитата:
Начнем с начала: как логин и пароль попадают к злоумышленнику?
Попадает через разные источники, astalavista.box.sk, Mirc, подборщики паролей и т.д. А также самое худшее сам пользователь перепродает или отдает даром пароль третьему лицу!
Какие будут советы?

Старый 24.10.2004, 22:56
nagash вне форума Посмотреть профиль Отправить личное сообщение для nagash Посетить домашнюю страницу nagash Найти все сообщения от nagash
  № 15  
nagash
Ветеран форума
 
Аватар для nagash

Регистрация: Jul 2001
Адрес: Москва
Сообщений: 3,088
Отправить сообщение для nagash с помощью ICQ
думаешь на astalavista.box.sk будут выкладывать пароли от твоего сайта? =)))))))))

Старый 25.10.2004, 00:44
Crazy вне форума Посмотреть профиль Отправить личное сообщение для Crazy Посетить домашнюю страницу Crazy Найти все сообщения от Crazy
  № 16  
Crazy
[+1 23.05.11]
 
Аватар для Crazy

Регистрация: Dec 2001
Сообщений: 4,159
Цитата:
Оригинал написал(а) Flesh5
Если мы это узнаем то дадим честному пользователю отправить письмо администратору который при подтверждении данной информации сменит пароль и забанит IP злоумышленника!
Здесь есть сразу ряд неувязок. Итак:

1. Кто мешает "злоумышленнику" (термин дурной, но раз уж он тебе так мил -- будет пользоваться) послать письмо администратору?

2. Как администратор будет получать подтверждение? Звонить в Петропавловск-Камчатский с учетом разницы во времени?

3. В надцатый раз говорю: учи основы. В данном случае тебе нужно познакомиться с понятиями "IP pool". Не задолбаешься банить все IP диалапа Russian On-Line? А если "честный" пользователь ходит через того же провайдера? А если вспомнить еще и про анонимные прокси...

Цитата:
Если будет 5 попыток злоумышленника то пароль автоматом сменивается и отправляется пользователю на почтовый ящик!
Осталось повесить где-нибудь хрень, которая будет постоянно ломиться и сбрасывать пароль "честного" пользователя. Классическая DOS-атака.

Цитата:
Попадает через разные источники, astalavista.box.sk, Mirc, подборщики паролей и т.д.
Если в подборщик паролей я еще могу поверить (с натяжкой на то, что кому-то взбрело в голову делать и распространять подборщик паролей специально для твоего сайта), но в остальном, извини, это бред.

Цитата:
А также самое худшее сам пользователь перепродает или отдает даром пароль третьему лицу!
В этом случае он легко договорится с третьим лицом, чтобы они не пересекались в онлайне. И будут успешно доить тебя сообща.

Цитата:
Какие будут советы?
Я тебе его уже дал. Просто ты не хочешь ему следовать. Я повторю еще раз: изучи технологию и поменяй бизнес-процесс. Ибо ты делаешь совершенно классические ошибки.
__________________
GIT d++ s++:++ a C++$ UB++ P++ L+ E+ W+++ N++ w++ O+ M V- t-- 5-- X+ R+++ tv- b+++ D++

Старый 25.10.2004, 17:49
Flesh5 вне форума Посмотреть профиль Отправить личное сообщение для Flesh5 Посетить домашнюю страницу Flesh5 Найти все сообщения от Flesh5
  № 17  
Flesh5

Регистрация: Jun 2002
Сообщений: 226
Отправить сообщение для Flesh5 с помощью ICQ
Нагаш, на все 100% уверен что да, вам станет ясней почему если я скажу что цена пароля от 40$. Но это уже не моя проблема, с меня требуют скрипт который запрещал бы одновременный доступ пользователей с одним паролем!

Цитата:
Кто мешает "злоумышленнику" (термин дурной, но раз уж он тебе так мил -- будет пользоваться) послать письмо администратору?
Ни что не мешает, но при просьбе сменит пароль на почтовый ящик который был указан при регистрации будет выслано письмо с просьбой подтвердить смену пароля! Так что облом для злоумышленника (кстати как эго можно назвать по другому?).

Цитата:
Как администратор будет получать подтверждение? Звонить в Петропавловск-Камчатский с учетом разницы во времени?
Как можно догадаться через почтовый ящик указанный при регистрации.

Цитата:
В надцатый раз говорю: учи основы. В данном случае тебе нужно познакомиться с понятиями "IP pool". Не задолбаешься банить все IP диалапа Russian On-Line? А если "честный" пользователь ходит через того же провайдера? А если вспомнить еще и про анонимные прокси...
Несколькими пользователями можно пожертвовать! Кстати я несколько регионов вообще баню, например запрет на заход с Китая и с Японии (уж больно умные эти узко глазные!).


Цитата:
Осталось повесить где-нибудь хрень, которая будет постоянно ломиться и сбрасывать пароль "честного" пользователя. Классическая DOS-атака.
Да это не учел, но мне не пофиг если придурок пользователь теряет пароли быстрей чем винда летит на компе! :-)

Цитата:
Если в подборщик паролей я еще могу поверить (с натяжкой на то, что кому-то взбрело в голову делать и распространять подборщик паролей специально для твоего сайта), но в остальном, извини, это бред.
Да конечно это бред, если я скажу что в этот сайт вложили около 1500$ только информации, и каждую следующую неделю будет вкладывается 80$. А пароль стоит 40$?

Цитата:
В этом случае он легко договорится с третьим лицом, чтобы они не пересекались в онлайне. И будут успешно доить тебя сообща.
Ну доить сообща это еще можно пережить, а вот если пол Интернета одновременно завалит, не то что сайт, сервак не выдержит! И вечный бан от хостера :-) за то что мы его на целый день вырубили! :-) Еще меня обвинит в атаке на сервак! :-)

Цитата:
Я тебе его уже дал. Просто ты не хочешь ему следовать. Я повторю еще раз: изучи технологию и поменяй бизнес-процесс. Ибо ты делаешь совершенно классические ошибки.
То что я делаю классические ошибки меня радует, значит иду по правильному пути! :-) Что касается сменить бизнес-процесс, данный термин мне не понятен, что значит бизнес процесс? И какую технологию и где изучить, может вы имеете в виду технологию создания онлаин магазинов или что-то в этом роде.

Старый 26.10.2004, 11:23
Flesh5 вне форума Посмотреть профиль Отправить личное сообщение для Flesh5 Посетить домашнюю страницу Flesh5 Найти все сообщения от Flesh5
  № 18  
Flesh5

Регистрация: Jun 2002
Сообщений: 226
Отправить сообщение для Flesh5 с помощью ICQ
Prosto podnal temu


Последний раз редактировалось Flesh5; 26.10.2004 в 11:30.
Старый 26.10.2004, 22:13
Crazy вне форума Посмотреть профиль Отправить личное сообщение для Crazy Посетить домашнюю страницу Crazy Найти все сообщения от Crazy
  № 19  
Crazy
[+1 23.05.11]
 
Аватар для Crazy

Регистрация: Dec 2001
Сообщений: 4,159
Цитата:
Оригинал написал(а) Flesh5
Так что облом для злоумышленника (кстати как эго можно назвать по другому?).
Никакого облома. Злоумышленник хотел прервать обслуживание -- он этого добился.

Цитата:
Как можно догадаться через почтовый ящик указанный при регистрации.
Учитывая разницу во времени -- в среднем через сутки? Прекрасные условия для DOS-атаки.
__________________
GIT d++ s++:++ a C++$ UB++ P++ L+ E+ W+++ N++ w++ O+ M V- t-- 5-- X+ R+++ tv- b+++ D++

Старый 27.10.2004, 11:02
Flesh5 вне форума Посмотреть профиль Отправить личное сообщение для Flesh5 Посетить домашнюю страницу Flesh5 Найти все сообщения от Flesh5
  № 20  
Flesh5

Регистрация: Jun 2002
Сообщений: 226
Отправить сообщение для Flesh5 с помощью ICQ
Цитата:
Никакого облома. Злоумышленник хотел прервать обслуживание -- он этого добился.
Облом есть, так как пока я не получу подтверждение от пользователя что он реально хочет сменить пароль я не меняю его!
Цитата:
Учитывая разницу во времени -- в среднем через сутки? Прекрасные условия для DOS-атаки.
При чем тут ДОС атака? Я же говорю что смена пароля получится только в том случае если злоумышленнику знает пароль пользователя и кроме этого знает пароль от почтового ящика! (что бывает очень редко!)

Ну вот мы уже несколько дней ведем дискуссию, решили много проблем, нюансов о которых я даже не подозревал, но остается главная проблема, как можно определить что пользователь еще подключен и что другие не смогли подключится!
Проблема не изменилась, что делать если пользователь очистил кукис? Как его определить при попытке подключится заново? Есть еще мысль, так как этот вариант возникает очень редко, можно отправить код протекции ему на почтовый ящик! С помощью которого он может продолжить авторизацию

Создать новую тему   Часовой пояс GMT +4, время: 20:40.
Быстрый переход
  « Предыдущая тема | Следующая тема »  
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


 


Часовой пояс GMT +4, время: 20:40.


Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.