По поводу Авторегистраций

Lexicon

Выдающийся
Участник
Сообщения
131
Розыгрыши
0
Репутация
10
Реакции
37
Баллы
1 345
Уважаемые знатоки, подскажите пожалуйста какие Минусы\проблемы могут возникать если открыться с авторегистрация аккаунтов (да и вообщем оставить её всегда вкл.)
Хочу узнать больше по поводу Брута (если при таком раскладе дает злоумышленником преимущество) а так же о ДДосе (если при таком раскладе дает злоумышленником преимущество)

Спасибо заранее за ответы!
 
Восстановление пароля. Как ? мыло то нет, нужен функционал для привязки мыла к акку.
Аналогично и с привязкой.

Для брута это просто сказка.
На счет ддоса, хз, сказать не могу, но если защиты не будет, какой-то "хороший" человек, может не хило засрать базу 3 ккк акками. ( было такое)
 
  • Мне нравится
Реакции: Lexicon

    Lexicon

    Баллов: 5
    Спасибо, буду иметь ввиду.
Авторега ад для серва. Поставил бота, и он овер лям акков нарегает, нагрузит базу. Ну думаю суть ясна. Самый простой способ убить сервер.
 
Восстановление пароля. Как ? мыло то нет, нужен функционал для привязки мыла к акку.
Аналогично и с привязкой.
это не обязательно делать на стороне сайта. можно это реализовать по аналогии с пинкодом после того, как зашел на сервер. а с брутом думаю неплохо справляется и IPTables
 
это не обязательно делать на стороне сайта. можно это реализовать по аналогии с пинкодом после того, как зашел на сервер.
Я где-то писал про сайт? "мыло то нет, нужен функционал для привязки мыла к акку."
Просто стоит ли париться и делать такое, ради автореги?
это не обязательно делать на стороне сайта. можно это реализовать по аналогии с пинкодом после того, как зашел на сервер. а с брутом думаю неплохо справляется и IPTables
Интересно какие правила поставить?
Или будет банить всех подрят, или будут брутить.
 
Или будет банить всех подрят, или будут брутить.
пациент скорее жив, чем мертв. хотя он скорее мертв, чем жив. временно банить за 3 неправильные попытки ввода пароля. и перманент за 2-е повторение трех попыток)))

но вопрос справедлив, а стоит ли это делать ради автореги?
 
пациент скорее жив, чем мертв. хотя он скорее мертв, чем жив. временно банить за 3 неправильные попытки ввода пароля. и перманент за 2-е повторение трех попыток)))

но вопрос справедлив, а стоит ли это делать ради автореги?
Так вот присутствует проект как гве (пример), где там активно брутят при чем очень даже успешно, вечно там тырят акки, но там не стоит авторег) Видимо если брутят то пофиг на авторег, что с ним что без него...
 
Так вот присутствует проект как гве (пример), где там активно брутят при чем очень даже успешно, вечно там тырят акки, но там не стоит авторег) Видимо если брутят то пофиг на авторег, что с ним что без него...
там вроде как не брутят, а разводят даунов через рк, они типа скачивают "обновку", которую кстати рк сам им предлагает, ну, а обновка уже с подарочком идет
 
там вроде как не брутят, а разводят даунов через рк, они типа скачивают "обновку", которую кстати рк сам им предлагает, ну, а обновка уже с подарочком идет
хм)) это что то новое, знаю казусы которые без РК тырили) но вижу ребята не стоят на месте, развиваются :-D
 
Вообще не вижу смысла делать авторег на серве. Лишнняя дыра в серваке. Делай регу на сайте. Пили капчу на регу. А на логин вешай ограничения по количеству неверных паролей. 5 раз потом блок на 10 мин потом на 30 потом перманент. И не парься. А вообще лучше регу с кодом по смс сделать. И забыть про траблы. Брутят и лк на сайтах. Поэтому по аналогии.

Это самое простое решение на мой взгляд. Может кто-то предложит вариант интереснее, возьму его себе на заметку) в сентябре планируем запуск старого проекта который закрыли в 2012 году. Отработал 4 года)))
 
Вообще не вижу смысла делать авторег на серве. Лишнняя дыра в серваке. Делай регу на сайте. Пили капчу на регу. А на логин вешай ограничения по количеству неверных паролей. 5 раз потом блок на 10 мин потом на 30 потом перманент. И не парься. А вообще лучше регу с кодом по смс сделать. И забыть про траблы. Брутят и лк на сайтах. Поэтому по аналогии.

Это самое простое решение на мой взгляд. Может кто-то предложит вариант интереснее, возьму его себе на заметку) в сентябре планируем запуск старого проекта который закрыли в 2012 году. Отработал 4 года)))
По себе скажу, вижу на серве говномоды в реге - шлю сервак нах, терпеть не могу префиксы в100500 символов и паролей с выпендрежами без свободы выбора, ладно на топовых сервах делать пароли от 8 символов , но кому нужны ваши говно проэкти с онлайном в 20 рыл что бы ещё и из смс-ками заморачиватся ?
 
Плюсы
Быстрая регистрация, без заморочек.
Не нужно вводить капчу.
Не нужно палить свое мыло.
Не нужно подтверждать мыло.
Не нужно удалять (где представляется возможно) префикс на SW.
Никогда не забудешь префикс, так как его нет.

Минусы
Регистрация долгая, нужная, занимает множество телодвижений.
Нужно запоминать префикс.
Парой ещё и мастер-аккаунтов децелы наделали.
Подтверждение на мыло может не прийти мгновенно или попасть в спам.

Про брут.
При бруте будет уйму акков регистрироваться, так как у хацкера уже имеется база данных с сбрученными паролями из ранее слитых серверов.
Разумно будет внести в ч.с. аккаунты которые были слиты из других проектов.
Разумно сделать задержку между авторизациями на 30 сек.
Брутят ещё сайты.
Сайты брутить даже легче и не смотря что там капча, ведь капча стандартная, вероятно под неё уже есть скрипт который способен распознать с большой вероятностью защитные символы, к примеру под SW есть.
Сайты где при регистрации добавляется префикс брутить будет бессмысленно. Обычно в префиксах 3 символа, это на каждый аккаунт возможно ещё 46656 комбинаций, хотя двух символов в префиксе тоже хватит с головой, даст 1296 вариантов комбинаций.

Итог: Если сервер достаточно большой, делать регистрацию через сайт необходимо. Использовать префикс/суффикс желательно.
Если сервер однодневка, аккаунтов в БД не больше 500-700, то можно пренебречь и оставить авторегистрацию.

То что тебе могут нагрузить базу левыми акками, чепуха и плевать.
Представим гипотетическую ситуацию, на твоей сервер каждую секунду регистрируется 1 аккаунт. За час это 3600 аккаунтов, за неделю 604800. И это каждую секунду.
У меня в БД было намного больше чем 100лям. строк, поиск по ним занимал милисекунды, никакой нагрузки не создавал и это на моем настольном ПК, которому больше 11 лет и детали не менялись.
Разумеется что каждую сек. к тебе никто не будет подключаться. Это для общего понимания пример.
 
Последнее редактирование:
  • Мне нравится
Реакции: Psycho и Lexicon

    Lexicon

    Баллов: 9
    Божественный ответ, спасибо большое!!
Все ваши слова про бан после нескольких попыток - это бессмысленно.
Ставится каждый 2 ак свой, и все.
Префиксы при реги, просто Усложняют брут, увеличивают кол-во вариантов, если все идет гладко, то можно и двойным префиксом брутить.
 
Авторега = жди пацанов с короткой памятью которые по забывали акки.
А вообще ели интерлюд то там даже текстовики найти в загрузках не смогут.
 
Lexicon, 2013г~ баг еще вылаживали этот, да и через другие так же способы взламывают сейчас
 
Если проект серьезный - авторега будет лишь балластом. А если побегать с поцами из своего города, то и так сойдет.
Можно сделать что-то на подобие ВК:
регистрация обычная (с телефоном или без, решать юзеру), при этом он может сам решить, добавлять ли подтверждение по СМС или вовсе через приложение-аутентификатор на телефоне. + Возможность запомнить устройство и клиент, чтобы раз подтвердить и дальше заходить без подтверждения.
Для этого при каждой закачке какого-то из файлов клиента (допустим лаунчера), выдаем ему айдишник и добавляем его в БД, если юзер захотел запомнить устройство. В итоге при логине если текущий айдишник в базе есть - пропускаем, нет - подтверждение.
 
По себе скажу, вижу на серве говномоды в реге - шлю сервак нах, терпеть не могу префиксы в100500 символов и паролей с выпендрежами без свободы выбора, ладно на топовых сервах делать пароли от 8 символов , но кому нужны ваши говно проэкти с онлайном в 20 рыл что бы ещё и из смс-ками заморачиватся ?
Вот от такого подхода как у тебя и открываются говносервы с говномодами и с говноадминами. Прльзователь твоего сервера должен быть уверен, что его акк не перейдет в чужие руки из-за жопорукости админа.
 
  • Мне нравится
Реакции: risi
Вот от такого подхода как у тебя и открываются говносервы с говномодами и с говноадминами. Прльзователь твоего сервера должен быть уверен, что его акк не перейдет в чужие руки из-за жопорукости админа.
Я к тому что если пользователь должен быть уверен - то у него должен быть выбор, использовать привязку по тел или нет, использовать префикс или нет
 
Вот от такого подхода как у тебя и открываются говносервы с говномодами и с говноадминами. Прльзователь твоего сервера должен быть уверен, что его акк не перейдет в чужие руки из-за жопорукости админа.
Да правильно он все сказал. Зачем заморачиваться из-за однодневки с онлайном в 100-300 рыл? Один хер он открыт чисто для сруба деревянных.
 
Назад
Сверху Снизу