Sleep и брутфорс

@otto-fukin · Регистрация: 15.06.2017

Студворк — интернет-сервис помощи студентам

Годный ли способ помешать брутфорсеру, притормозив ответ программы на несколько секунд, в случае ввода неверного пароля? Или это положит сайт при бесконечных запросах?

@Rius · 21.12.2017, 08:48

Совершенно не годный.

Лучше отклоняйте любые пароли для того IP, с которого был обнаружен подбор.
Или вообще возвращайте пустую страницу некоторое время после обнаружения.
Посмотрите как работает fail2ban.

@otto-fukin · 21.12.2017, 09:14 **[ТС]**

Сообщение от Rius

Совершенно не годный.

обоснуйте? задержка в 10 сек даст возможность взломщику перебрать порядка 260тыс вариантов за месяц. Это пальцем в небо даже для md5..

Сообщение от Rius

Лучше отклоняйте любые пароли для того IP

в быту большинство ip серые и тогда отвалится целый сегмент сети в котором завелся нехороший человек..Сам ip где-то нужно сохранять. взломщик не обязан сохранять куки и может чистить ссылки если через них пытаться передавать id сессии для хранения ip.

@Rius · 21.12.2017, 09:17

Сообщение от otto-fukin

обоснуйте? задержка в 10 сек даст возможность взломщику перебрать порядка 260тыс вариантов за месяц.

А блокировка IP на сутки даст перебрать 30 вариантов паролей в месяц. Врядли для каждого запроса бот будет обращаться с нового IP.

Сообщение от otto-fukin

в быту большинство ip серые и тогда отвалится целый сегмент сети в котором завелся нехороший человек..

Это может быть вполне приемлемо. Врядли прямо-таки 50% пользователей одномоментно будут ломиться к вам с одного серого IP.
Если нет, то ставьте ReCaptcha или что-то подобное, отсеивающее ботов.

Сообщение от otto-fukin

Сам ip где-то нужно сохранять.

Значит, сохраняйте.

Новые блоги и статьи Все статьи Все блоги /
Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	Влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .
Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .	Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .

@otto-fukin 14 / 60 / 21 Регистрация: 15.06.2017 Сообщений: 572

	Sleep и брутфорс 21.12.2017, 07:31. Показов 1020. Ответов 3 Метки нет (Все метки) Годный ли способ помешать брутфорсеру, притормозив ответ программы на несколько секунд, в случае ввода неверного пароля? Или это положит сайт при бесконечных запросах? 0

@Rius 13092 / 7651 / 1672 Регистрация: 25.05.2015 Сообщений: 23,292 Записей в блоге: 14
	21.12.2017, 08:48
	Совершенно не годный. Лучше отклоняйте любые пароли для того IP, с которого был обнаружен подбор. Или вообще возвращайте пустую страницу некоторое время после обнаружения. Посмотрите как работает fail2ban. 0