私は現在、ユーザーがWebサイトにログインする必要があるWebサイトを開発しました。ユーザーが来たら、私は彼/彼女のためにを作成しSession
、彼/彼女のために失敗したログインの時間と時間を節約します。ユーザーが5回のログインを試みるとき、私は彼にaを見せて、彼にコードをCAPTCHA
入力させます。問題は、インターネットでCAPTCHA
一意のユーザーを選択する方法です。一緒にユーザーについてどのような情報がユニークユーザーを選択できますか?HTML
You are ban for 2 hours
2 に答える
ユーザーにログインを求めているので、ユーザーごとに一意のログインIDを既に持っているようです。根本的な懸念は、悪意のあるユーザーがシステムを破壊して、別の有効なユーザーを停止させながらロックアウトするのを防ぐことです。パスワードクラッキングから。あれは正しいですか?
悪意のあるユーザーが侵入防止スキームを使用して他のユーザーに干渉するのを確実に防ぐことはできません。誰かが別のユーザーのパスワードをブルートフォースしようとしているように見える場合は、そのIPアドレスを一定期間ロックアウトできます...またはそのアカウントのIPアドレスだけをロックアウトできます...しかし、 NATゲートウェイの共有IPの背後にいる悪意のあるユーザーにより、同じゲートウェイの背後にいる他のすべてのユーザーがロックアウトされます。サーバーに送信される情報はすべてなりすましになる可能性があるため、少しバランスをとる必要があります。ユーザーIDとIPアドレスの組み合わせは、一意の個人を表すという点では間違いありませんが、最も一般的な悪用を防ぐには十分です。
サイト内のユーザー名が一意であると見なすと、ユーザー名とセッションの組み合わせを使用して特定のユーザーをブロックできます。ユーザーが異なるマシンから同じユーザー名を10回使用すると、ブロックされる可能性があります。