Il captcha al nesimo tentativo di accesso è in realtà un arresto dei bot?

Naviga le tue risposte
3

Ho l'obbligo di mostrare google reCaptcha al 2 ° tentativo sulla schermata di accesso.

Ma francamente non lo considero il modo di fermare i bot.

Perché dal lato server non posso dire se questo è il primo o il secondo tentativo di login a meno che l'utente scelga di inviare un qualche tipo di cookie insieme alla richiesta in modo da poter identificare il numero di tentativi di accesso che sta provando - quindi il protocollo HTTP è apolidi in natura.

E credo che i bot non siano stupidi nell'inviare alcuni cookie che fanno capire al server qualsiasi informazione su di loro.

Ho sentito parlare di alcune soluzioni sofisticate come uno script js da eseguire sul caricamento della pagina di accesso per generare un id e poi inviare questo id al server e fare in modo che il server verifichi questo id, ma comunque un bot sufficientemente intelligente simula tutte queste azioni. ma questo non è quello che sto chiedendo.

Qualche consiglio?

    
posta Muhammad Hewedy 25.01.2017 - 20:10
fonte

2 risposte

3

La memorizzazione del numero di accessi non riusciti nella sessione o nel cookie non funziona. Come hai sottolineato, l'utente malintenzionato può semplicemente eliminare il cookie. Un modo migliore consiste nel mantenere il numero di tentativi di accesso non riusciti sul server, corrispondente al nome utente o all'indirizzo IP utilizzato. Se qualcuno inserisce le credenziali errate, si incrementa il contatore per quell'indirizzo IP o per quel nome utente sul server. In questo modo il client non può modificarlo.

    
risposta data 25.01.2017 - 20:20
fonte
1

Nulla fermerà completamente i bot che tentano di accedere, che non è l'obiettivo.

L'obiettivo è limitare il numero di tentativi che i bot riescono a raggiungere a un livello in cui è improbabile che indovinino correttamente, anche se l'utente sceglie una password relativamente debole.

Ovviamente non puoi aspettarti che i bot ti inviino un cookie, quindi è necessaria qualche altra forma di controllo, probabilmente una combinazione di limiti per indirizzo IP, limiti per Username e limiti per varie dimensioni del blocco IP.

    
risposta data 25.01.2017 - 21:31
fonte

Leggi altre domande sui tag

AD-DS: Perché nascondere l'ultimo utente connesso? Qual è il vantaggio di information_schema del database per un hacker?