問題タブ [login-attempts]

ユーザーをロックアウトする前に、ログイン試行回数を 3 回に設定する必要があります。デフォルトは 5 のようです。Weblogic 10.0 でこの値を変更するにはどうすればよいですか?

私は、潜在的に多くのユーザーを持つ PHP で構築されたかなり大きな Web サイトに取り組んでいます。ログイン画面を自動試行から保護する方法を検討しています。登録フォームに CAPTCHA チェックを既に含めていますが、サイトをさらに強化したいと考えています。

私が知っているStackOverflowにも同様の質問があり、これを自分でゼロから実装できることは知っていますが（ログイン試行とその時間をデータベースに保存します）、それでも私はそのパスが嫌いです：

• 概念的には、この種のロジックはアプリケーション レベルではなく、Web サーバー/インフラストラクチャ レベルに属していると思います。アプリケーションにこのロジックと複雑さがあるのは嫌いです
• 特にデータベース レベルでのパフォーマンスが心配です。
• このような共通のユーティリティをゼロから構築したくないという点で、私は怠け者です。

どんなアドバイスでも大歓迎です。これを実行できるある種の Apache モジュールを特に探していると思います。私のプラットフォームは PHP5 (CodeIgniter を使用)、Apache2、MySQL 5 です。

私は公開ウェブサイトの 1 つに改良されたパスワード リセット機能を書き込もうとしています。より良いキャプチャに加えて、y 分以内に x 回成功せずにログインを試みるユーザー名にフラグを立てたいと考えていました。最初に考えたのは、各試行をログに記録するデータベースを用意し、試行回数が上限に達した後は、従業員のマネージャーからリセットの電話を受けるまでアカウントをロックすることでした。

SQL による永続性を必要としないより良いアプローチは何ですか。(Cookie/何か他のもの?) 存在しない場合、よりクリーンなアプローチでこれを行うにはどうすればよいですか? 何故か今日は頭がいっぱい

Web サイトでログインに POST フォームを使用している場合、悪意のあるクライアントが POST 要求で Web サーバーをフラッディングさせてユーザー アカウントをブルート フォースでクラックしようとするのを防ぐ迅速かつ簡単な方法は何ですか?

PHP/MySQL/アパッチ。

1) アプリケーションの典型的なログイン画面。ID は 3 回以上試行すると間違ったパスワードでロックされます。

2) ユーザーが同じマシンまたは異なるマシンで複数のブラウザーを使用する可能性があるため、試行をセッションに保存することはできません。

3) 24rs 程度後にリセットする必要があるため、データベースにカウントを保持したくありません。

これを行う最善の方法は何ですか？

私の Web サイトでは、「Windows 認証モード」を使用して sqlserver データベースにアクセスしています。Visual Studio を使用して Web サイトを実行すると、すべて正常に動作します。しかし、IIS で Web サイトをホストすると、「データベースへのログインに失敗しました」というエラー メッセージが毎回表示されます。

ユーザー 'HAL\IUSR_HAL' のログインに失敗しました (HAL は私の Web サーバーの名前です)

IIS を介してデータベースにログインできるように、データベースのプロパティを変更する必要がありますか?

ログイン確認のためにphpページにajaxリクエストを送信するログインページを作成しました。そのphpページでセッションを作成し、ログイン検証に従って応答を送信します。ユーザーが認証された場合、私はajaxを送信する場所からJavaスクリプトからホームページにリダイレクトします。しかし、そのホームページでは、そのセッションオブジェクトを取得できません...なぜですか? ホームページでそのセッションを取得するための解決策を教えてください

ファイルがあるとしますlogin.php。

login.phpget (または post) パラメータの username と password を受け取り、ログインが成功した場合は true を返し、それ以外の場合は false を返します。このようにして、他のページは ajax 経由でアクセスできます。

私の質問は、この方法はブルート フォース攻撃に対して脆弱であるため、これをどのように保護するべきかということです。自分のサイトのフォーム以外からのアクセスを拒否できるようにしようと思っているのですが、どうすればいいですか？

jquery を使用して ajax 呼び出しを行います。

私の開発環境では、登録とログインは問題なくできます。ログインまたは登録した後、リダイレクトを行います。デプロイすると、登録は引き続き機能することに気付きましたが、ページが更新されます。見知らぬ人は、私がログインしようとすると、それも更新されるという事実です。

つまり、基本的にはすべてが機能します。ユーザーは引き続き登録でき、アプリケーションはデータベースを検索でき、公開ページを表示できます。ログイン（または登録）ページを通過するだけでは機能しません。リダイレクトはありません。更新するだけです...

IIS 6.0、SQL Server 2008、asp.net4.0で実行しています。私はasp.netによって提供されるメンバーシップと役割を使用します。

$_SESSION（変数を使用して）3回失敗すると、ユーザーのコンピューターにCookieが作成され、10分で期限切れになるログインシステムを実装しました。クッキーを削除するだけなので、これでは十分ではないことがわかりました。さて、私が知りたいのは、IPとユーザー名の組み合わせを介して誤ったログインをキャプチャするためのテーブルを実装するとき、このテーブルはいつクリアされるのですか？ブロック時間が経過した後、ユーザーが正常にログインしたときは？

このテーブルに1000エントリが入力されているとしましょう。これを自動的にクリアするにはどうすればよいですか？テーブルの構造は何ですか？

私はこれを提案します：
4つのフィールド： ID、IP、ユーザー名（メールアドレスになります）、block_time（ユーザーが再度ログインできる時間）？