По поводу Авторегистраций

Lexicon · 7 Июл 2017

Уважаемые знатоки, подскажите пожалуйста какие Минусы\проблемы могут возникать если открыться с авторегистрация аккаунтов (да и вообщем оставить её всегда вкл.)
Хочу узнать больше по поводу Брута (если при таком раскладе дает злоумышленником преимущество) а так же о ДДосе (если при таком раскладе дает злоумышленником преимущество)

Спасибо заранее за ответы!

Desquire · 7 Июл 2017

Восстановление пароля. Как ? мыло то нет, нужен функционал для привязки мыла к акку.
Аналогично и с привязкой.

Для брута это просто сказка.
На счет ддоса, хз, сказать не могу, но если защиты не будет, какой-то "хороший" человек, может не хило засрать базу 3 ккк акками. ( было такое)

Psycho · 7 Июл 2017

Авторега ад для серва. Поставил бота, и он овер лям акков нарегает, нагрузит базу. Ну думаю суть ясна. Самый простой способ убить сервер.

6yka · 7 Июл 2017

Desquire написал(а):
Восстановление пароля. Как ? мыло то нет, нужен функционал для привязки мыла к акку.
Аналогично и с привязкой.

это не обязательно делать на стороне сайта. можно это реализовать по аналогии с пинкодом после того, как зашел на сервер. а с брутом думаю неплохо справляется и IPTables

Desquire · 7 Июл 2017

6yka написал(а):
это не обязательно делать на стороне сайта. можно это реализовать по аналогии с пинкодом после того, как зашел на сервер.

Я где-то писал про сайт? "мыло то нет, нужен функционал для привязки мыла к акку."
Просто стоит ли париться и делать такое, ради автореги?

6yka написал(а):
это не обязательно делать на стороне сайта. можно это реализовать по аналогии с пинкодом после того, как зашел на сервер. а с брутом думаю неплохо справляется и IPTables

Интересно какие правила поставить?
Или будет банить всех подрят, или будут брутить.

6yka · 7 Июл 2017

Desquire написал(а):
Или будет банить всех подрят, или будут брутить.

пациент скорее жив, чем мертв. хотя он скорее мертв, чем жив. временно банить за 3 неправильные попытки ввода пароля. и перманент за 2-е повторение трех попыток)))

но вопрос справедлив, а стоит ли это делать ради автореги?

Lexicon · 7 Июл 2017

6yka написал(а):
пациент скорее жив, чем мертв. хотя он скорее мертв, чем жив. временно банить за 3 неправильные попытки ввода пароля. и перманент за 2-е повторение трех попыток)))

но вопрос справедлив, а стоит ли это делать ради автореги?

Так вот присутствует проект как гве (пример), где там активно брутят при чем очень даже успешно, вечно там тырят акки, но там не стоит авторег) Видимо если брутят то пофиг на авторег, что с ним что без него...

Violence · 7 Июл 2017

Некуда будет делать эмайл рассылку.

Influence · 7 Июл 2017

Lexicon написал(а):
Так вот присутствует проект как гве (пример), где там активно брутят при чем очень даже успешно, вечно там тырят акки, но там не стоит авторег) Видимо если брутят то пофиг на авторег, что с ним что без него...

там вроде как не брутят, а разводят даунов через рк, они типа скачивают "обновку", которую кстати рк сам им предлагает, ну, а обновка уже с подарочком идет

Lexicon · 7 Июл 2017

Influence написал(а):
там вроде как не брутят, а разводят даунов через рк, они типа скачивают "обновку", которую кстати рк сам им предлагает, ну, а обновка уже с подарочком идет

хм)) это что то новое, знаю казусы которые без РК тырили) но вижу ребята не стоят на месте, развиваются :-D

Эмиль · 7 Июл 2017

Вообще не вижу смысла делать авторег на серве. Лишнняя дыра в серваке. Делай регу на сайте. Пили капчу на регу. А на логин вешай ограничения по количеству неверных паролей. 5 раз потом блок на 10 мин потом на 30 потом перманент. И не парься. А вообще лучше регу с кодом по смс сделать. И забыть про траблы. Брутят и лк на сайтах. Поэтому по аналогии.

Это самое простое решение на мой взгляд. Может кто-то предложит вариант интереснее, возьму его себе на заметку) в сентябре планируем запуск старого проекта который закрыли в 2012 году. Отработал 4 года)))

DaVilka · 7 Июл 2017

Эмиль написал(а):
Вообще не вижу смысла делать авторег на серве. Лишнняя дыра в серваке. Делай регу на сайте. Пили капчу на регу. А на логин вешай ограничения по количеству неверных паролей. 5 раз потом блок на 10 мин потом на 30 потом перманент. И не парься. А вообще лучше регу с кодом по смс сделать. И забыть про траблы. Брутят и лк на сайтах. Поэтому по аналогии.

Это самое простое решение на мой взгляд. Может кто-то предложит вариант интереснее, возьму его себе на заметку) в сентябре планируем запуск старого проекта который закрыли в 2012 году. Отработал 4 года)))

По себе скажу, вижу на серве говномоды в реге - шлю сервак нах, терпеть не могу префиксы в100500 символов и паролей с выпендрежами без свободы выбора, ладно на топовых сервах делать пароли от 8 символов , но кому нужны ваши говно проэкти с онлайном в 20 рыл что бы ещё и из смс-ками заморачиватся ?

Logan22 · 7 Июл 2017

Плюсы

Быстрая регистрация, без заморочек.
Не нужно вводить капчу.
Не нужно палить свое мыло.
Не нужно подтверждать мыло.
Не нужно удалять (где представляется возможно) префикс на SW.
Никогда не забудешь префикс, так как его нет.

Минусы

Регистрация долгая, нужная, занимает множество телодвижений.
Нужно запоминать префикс.
Парой ещё и мастер-аккаунтов децелы наделали.
Подтверждение на мыло может не прийти мгновенно или попасть в спам.

Про брут.

При бруте будет уйму акков регистрироваться, так как у хацкера уже имеется база данных с сбрученными паролями из ранее слитых серверов.
Разумно будет внести в ч.с. аккаунты которые были слиты из других проектов.
Разумно сделать задержку между авторизациями на 30 сек.
Брутят ещё сайты.
Сайты брутить даже легче и не смотря что там капча, ведь капча стандартная, вероятно под неё уже есть скрипт который способен распознать с большой вероятностью защитные символы, к примеру под SW есть.
Сайты где при регистрации добавляется префикс брутить будет бессмысленно. Обычно в префиксах 3 символа, это на каждый аккаунт возможно ещё 46656 комбинаций, хотя двух символов в префиксе тоже хватит с головой, даст 1296 вариантов комбинаций.

Итог: Если сервер достаточно большой, делать регистрацию через сайт необходимо. Использовать префикс/суффикс желательно.
Если сервер однодневка, аккаунтов в БД не больше 500-700, то можно пренебречь и оставить авторегистрацию.

То что тебе могут нагрузить базу левыми акками, чепуха и плевать.
Представим гипотетическую ситуацию, на твоей сервер каждую секунду регистрируется 1 аккаунт. За час это 3600 аккаунтов, за неделю 604800. И это каждую секунду.
У меня в БД было намного больше чем 100лям. строк, поиск по ним занимал милисекунды, никакой нагрузки не создавал и это на моем настольном ПК, которому больше 11 лет и детали не менялись.
Разумеется что каждую сек. к тебе никто не будет подключаться. Это для общего понимания пример.

Desquire · 7 Июл 2017

Все ваши слова про бан после нескольких попыток - это бессмысленно.
Ставится каждый 2 ак свой, и все.
Префиксы при реги, просто Усложняют брут, увеличивают кол-во вариантов, если все идет гладко, то можно и двойным префиксом брутить.

risi · 7 Июл 2017

Авторега = жди пацанов с короткой памятью которые по забывали акки.
А вообще ели интерлюд то там даже текстовики найти в загрузках не смогут.

jois · 7 Июл 2017

Lexicon, 2013г~ баг еще вылаживали этот, да и через другие так же способы взламывают сейчас

Mizuwokiru · 8 Июл 2017

Если проект серьезный - авторега будет лишь балластом. А если побегать с поцами из своего города, то и так сойдет.
Можно сделать что-то на подобие ВК:
регистрация обычная (с телефоном или без, решать юзеру), при этом он может сам решить, добавлять ли подтверждение по СМС или вовсе через приложение-аутентификатор на телефоне. + Возможность запомнить устройство и клиент, чтобы раз подтвердить и дальше заходить без подтверждения.
Для этого при каждой закачке какого-то из файлов клиента (допустим лаунчера), выдаем ему айдишник и добавляем его в БД, если юзер захотел запомнить устройство. В итоге при логине если текущий айдишник в базе есть - пропускаем, нет - подтверждение.

Эмиль · 8 Июл 2017

DaVilka написал(а):
По себе скажу, вижу на серве говномоды в реге - шлю сервак нах, терпеть не могу префиксы в100500 символов и паролей с выпендрежами без свободы выбора, ладно на топовых сервах делать пароли от 8 символов , но кому нужны ваши говно проэкти с онлайном в 20 рыл что бы ещё и из смс-ками заморачиватся ?

Вот от такого подхода как у тебя и открываются говносервы с говномодами и с говноадминами. Прльзователь твоего сервера должен быть уверен, что его акк не перейдет в чужие руки из-за жопорукости админа.

DaVilka · 8 Июл 2017

Эмиль написал(а):
Вот от такого подхода как у тебя и открываются говносервы с говномодами и с говноадминами. Прльзователь твоего сервера должен быть уверен, что его акк не перейдет в чужие руки из-за жопорукости админа.

Я к тому что если пользователь должен быть уверен - то у него должен быть выбор, использовать привязку по тел или нет, использовать префикс или нет

Psycho · 9 Июл 2017

Эмиль написал(а):
Вот от такого подхода как у тебя и открываются говносервы с говномодами и с говноадминами. Прльзователь твоего сервера должен быть уверен, что его акк не перейдет в чужие руки из-за жопорукости админа.

Да правильно он все сказал. Зачем заморачиваться из-за однодневки с онлайном в 100-300 рыл? Один хер он открыт чисто для сруба деревянных.

По поводу Авторегистраций

Выдающийся

Гений мысли

Просветленный

Повелитель тьмы

Гений мысли

Повелитель тьмы

Выдающийся

Гений мысли

Величайший

Выдающийся

Путник

Прославленный

Гений мысли

Гений мысли

Прославленный

Величайший

Путник

Прославленный

Просветленный

Похожие темы