0

こんにちは、これは私の最初の投稿です。パブリック ユーザー登録とログイン機能を備えた Web サイト プロジェクトを開発しています。現在、プロジェクト全体のロジック フローを概念化しており、現在は認証とセキュリティの部分で行き詰っています。

私はグーグルで答えを見つけることができませんでした。sofも検索しましたが、努力も無駄です。聞きたいことはかなり具体的です。

私が他のソフの投稿で読んだことから、ブルートフォース攻撃、IP 禁止、または n 回のログイン試行後の時間遅延を緩和することが最善の解決策の 1 つであるようです。もちろん、ホワイトリストとブラックリスト、および Captcha も忘れないでください。もちろん、私はすでに上記のテクニックを実装する予定です.(キャプチャではないかもしれません)

私の質問は、ボットネットまたは「ハッカー」が「作業」を行うために JavaScript 対応のブラウザを使用しないという仮定に基づいて、不正なログイン試行をブロックするために JavaScript が有効または無効になっていることを検出することは可能ですか?

たとえば、「js が無効になっている場合は、ログイン フォームの「レンダリング」を停止します。//ブルート フォース試行が検出されました

最後に、この仮定は、Web サイトを使用するためにすべてのユーザーが js 対応のブラウザーを持っているという事実に基づいています。

このアプローチは、他の軽減方法と同時に実行されます。

啓発してください。ありがとう!

4

2 に答える 2

0

u2702 は良い点を述べていますが、解決策がすべての攻撃者を思いとどまらせないからといって、解決策を放棄すべきであるとは限らないことを心に留めておくのは良いことだと思います。実際、これは大多数のボットを抑止するための非常に優れた方法だと思います。

目の前の質問に答えるために、暗号的に安全なランダム関数を使用して生成した値の MD5 をすべての見込みユーザーに計算させることができます。JavaScript なしでこれを偽造することは、多かれ少なかれ不可能です (私が見る限り)。

免責事項: この方法を実装すると、Richard Stallman と NoScript を使用する人々があなたのサイトから追放されます。

于 2013-07-08T19:36:59.797 に答える
0

確実または効率的ではありません。クライアント側から来るものは何も信用できません。

JavaScript が存在することを証明するためにクライアントに JavaScript で行うように依頼することはすべて、なりすましの可能性があります。なりすましを強制すると、より知的になり、より多くのリソースを消費するようになります。これはあなたにとって有利かもしれません。

于 2013-07-08T15:58:11.857 に答える