Zitat:
Zitat von cortex
das mag für spam-bots gut funktionieren, da diese - soweit ich weiss - das netz "automatisch" durchkämmen und ihren müll dort abladen, wo sie eine (bekannte) lücke finden. der markt für foren- und blog-apps wird ja auch durch einige wenige dominiert.
beim angriff auf eine konkrete anwendung hingegen wird diese (händisch) auf angriffsvektoren abgeklopft. das programm wird mit den gewonnenen informationen gefüttert und erst dann für den automatischen angriff gestartet.
bitte korrigiert mich, wenn ich daneben liege.
cx
|
Bots sind nicht so dumm. Die lesen grundsätzlich erstmal das Formular aus und füttern ihren POST-Datensatz entsprechend.
Login-Schutz:
In phpBB beispielsweise werden die Fehlversuche in der Spalte der User-Tabelle des betreffenden Users zwischengespeichert. Ab X Fehlversuchen ist der Login dann für Y Minuten nicht mehr möglich. Das ist absolut vertretbar, auch aus Usability-Sicht. Auf die Art muss man auch keine IPs speichern. Wenn der Login erfolgreich war, werden die Fehlversuche wieder genullt.
Das klingt erstmal sicher, aber ich kann aus Erfahrung sagen, dass dieses Verfahren nicht ausreichend ist. Ich kenne die drei beliebtesten Passwörter, die im Netz eingesetzt werden und genau die könnte man dann bei jedem User jeweils einmal probieren, bevor der Account weitere Fehlversuche ablehnt. Ich habe das bereits mit eigenen Userdaten getestet. Prozentual gesehen, sind zwar nur wenige Accounts betroffen, aber möglich wäre es.
Dagegen hilft eigentlich nur eine Sperre von zu einfachen Passwörtern. Also man verlangt, dass mindestens eine Kombination aus Groß-, Kleinschrift, Zahlen und Sonderzeichen gegeben ist und die Länge mindestens 6 Stellen umfasst (zu heftige Vorgaben demotivieren, also Vorsicht).
Die Gegenseite wäre dann wirklich nur eine umfangreiche Prüfung von IP-Adressen, Cookie, Session oder was man auch immer als Filter einsetzen möchte.
Ich bin übrigens der Ansicht, dass Bruteforce auf User-Accounts selten ist. Viel mehr wird versucht FTP-, .htaccess-oder MySQL-Logins zu bruteforcen. Da lohnt es sich und vor allen Dingen kann man sich da ganz schlecht vor schützen. Aber ganz klar... einen gewissen Schutz sollte man in jedem Fall integrieren.