.:: Forum o Suzuki GS 500 ::. ...::::Suzuki - Way of Life::::... Forum - problemy z dzialaniem i propozycje zmian - Zmiany ustawieñ zabezpieczeñ studi - Sob 12 Lut, 2011 Temat postu: Zmiany ustawieñ zabezpieczeñ W zwi±zku z tym, i¿ nie tylko na naszym forum, uaktywni³ siê jaki¶ robot, który metod± brute force usi³uje przejmowaæ konta u¿ytkowników zmienili¶my parametry blokady kont. Obecnie konto bêdzie blokowane na 2 godziny po 3 nieudanych próbach logowania. Za utrudnienia forumowiczów przepraszamy, ale nadrzêdnym celem jest ochrona waszych kont. Niestety automat atakuje ze zmiennych nr IP (albo z przejêtych maszyn, albo z us³ug o dynamicznym nr IP) co powoduje, ¿e nie mo¿emy w prosty sposób zbanowaæ prób logowania z okre¶lonego nr IP, bo tak mo¿na by by³o ca³± poka¼n± listê stworzyæ a i tak nie uchroni³o by to nas w 100%. Ishe - Sob 12 Lut, 2011 dobrze wiedziec bo dostalem maila ze ktos dzisiaj o 5 rano chcial mi sie 10 razy zalogowac na konto ale mu sie nie udalo... Special - Nie 13 Lut, 2011 czy moje konto bedzie codziennie blokowane? bo jak narazie jest Emwu96 - Nie 13 Lut, 2011 gorzej jak pijany wroce do domu i bede sie probowac zalogowac, ale to moze faktycznie i lepiej Special - Nie 13 Lut, 2011 Emwu96 napisa³/a: gorzej jak pijany wroce do domu i bede sie probowac zalogowac, ale to moze faktycznie i lepiej w takiej sytuacji to spoko , ale nie ze mam zablokowane konto codziennie i to nie logujac sie studi - Nie 13 Lut, 2011 Special, wspó³czuje ci, ale ostatnio na twoje konto by³y próby zalogowania siê z 15 ró¿nych nr IP, naprawdê nie ma szans tego logicznie zablokowaæ, nie zablokuje przecie¿ ca³ych podsieci, bo inni siê nie dostan± choæ bêd± poprawnie siê logowaæ. Po prostu musisz to jako¶ przetrwaæ, my¶lê, ¿e po tygodniu wszystko siê uspokoi. Mnie zablokowa³o raz konto tutaj, 2 x na forum prawojazdy.com.pl, Leon mi wspomina³, ¿e jemu zablokowa³o na forum Hondy i na wielu innych forach równie¿ jest to samo wiêc niestety ale jest to zjawisko globalne a nie lokalne K.Majka - Nie 13 Lut, 2011 A co ten "robot" zrobi, je¶li siê zaloguje na nasz konto? Jakie bêd± tego konsekwencje? studi - Nie 13 Lut, 2011 K.Majka napisa³/a: A co ten "robot" zrobi, je¶li siê zaloguje na nasz konto? Jakie bêd± tego konsekwencje? To zale¿y co chcia³ uzyskaæ autor tego robota, mo¿e zacz±æ pisaæ bzdurne posty, ale to akurat chyba najmniej realne, mo¿e z profilu odczytaæ adresy email i adresy stron internetowych aby stamt±d pozyskaæ kolejne adresy i wykorzystywaæ je do masowego spamowania, a mo¿e po pozyskaniu konta sprawdza czy nie ma ono uprawnieñ admina na danym forum i wtedy mo¿e du¿o krzywdy zrobiæ ca³emu forum. Jak napisa³em na pocz±tku zale¿y kto i jak oraz po co go napisa³. MeDAN - Nie 13 Lut, 2011 a szuka³e¶ mo¿e dodatków do phpBB które by jako¶ mog³y pomóc na tego zasranego robota ? Special - Nie 13 Lut, 2011 spoko przetrwam jakos leon - Nie 13 Lut, 2011 Wszyscy musimy przetrwaæ. Dzi¶ sam mia³em zablokowane konto i tutaj na naszym forum i na Forum Hondy Hornet. Tak jak Studi napisa³ - nic na to nie poradzimy. Przy okazji my¶lê, ¿e osoby maj±ce zbyt proste has³a powinny je zmieniæ na bardziej skomplikowane. dusza - Nie 13 Lut, 2011 a ja zapytam... jakie macie przegladarki?? dusza - opera zapamietane haslo - zero problemów studi - Nie 13 Lut, 2011 Cytat: a ja zapytam... jakie macie przegladarki?? A co tu ma przegl±darka do tego, obecnie zarówno IE6,7,8,9 jak i Mozilla FF, Google Chrome, Opera jak i wiele innych maj± funkcjê zapamiêtywania hase³. Ale problem nie polega na tym, ¿e kto¶ nie pamiêta swojego has³a tylko w tym, ¿e automat usi³uje je z³amaæ. dusza - Nie 13 Lut, 2011 studi napisa³/a: Cytat: a ja zapytam... jakie macie przegladarki?? A co tu ma przegl±darka do tego, obecnie zarówno IE6,7,8,9 jak i Mozilla FF, Google Chrome, Opera jak i wiele innych maj± funkcjê zapamiêtywania hase³. Ale problem nie polega na tym, ¿e kto¶ nie pamiêta swojego has³a tylko w tym, ¿e automat usi³uje je z³amaæ. Dzieki ze uwazasz mnie za g³upka nie umiej±cego czytaæ ze zrozumieniem (zart dla pe³nej jasnosci) zapyta³em o to dlatego i¿ sadze ze pojawily by sie odpowiedzi w stylu "probowano sie wlamac uzywam IE" szukam powiazan tak jak w serialach kryminalnych z chameryki poczekajmy zobaczymy i moze okaze sie ze to cudo na przyklad bardziej lubi ktoras przegladarke i bedziesz mogl wystosowac komunikat i¿ zalecasz stosowanie innej w celu zmniejszenia ryzyka no chyba ze prawda jest to co teraz do mnie dociera ze to tam na serwerze tylko siedzi i nie interesuje sie naszymi kompami studi - Nie 13 Lut, 2011 dusza napisa³/a: Dzieki ze uwazasz mnie za g³upka nie umiej±cego czytaæ ze zrozumieniem Nie uwa¿am Ciê za g³upka, tylko nie rozumiem co ma do tego przegl±darka, bo tego typu automaty nie korzystaj± w ogóle z przegl±darki, tylko same je udaj± wydaj±c odpowiednie zapytania do serwera. Analogicznie ma to miejsce w wypadku automatów wysy³aj±cych span na pocztê, one nie korzystaj± z klientów pocztowych tylko maj± zaszyty w³asny serwer pocztowy (dok³adnie serwer SMTP) za pomoc± którego siê rozsy³aj±. Równie¿ ty mo¿esz np. wysy³aæ pocztê czy j± czytaæ w ogóle nie maj±c klienta pocztowego, przyk³adowa konwersja dla odebrania poczty przy u¿yciu protolo³u POP3 wygl±da nastêpuj±co (podaje za wikipedi±, dok³adna sk³adnia zale¿y od implementacji serwera POP3) Kod: telnet twój_serwer_pop3 110 +OK Cubic Circle's v1.31 1998/05/13 POP3 ready <4c210000ddb28641@pop3serwer> user uzytkownik +OK uzytkownik selected pass Haslo +OK Congratulations! list +OK 1 messages (627 octets) 1 627 . retr 1 +OK 627 octets Received: by pop3serwer (mbox uzytkownik) (with Cubic Circle's cucipop (v1.31 1998/05/13) Mon Nov  1 23:04:26 2004) X-From_: uzytkownik@adres.email.com Mon Nov 01 23:04:07 2004 Return-path: <uzytkownik@adres.email.com> Envelope-to: uzytkownik@adres.email.com Received: from uzytkownik by pop3serwer.adres.email.com with local (Exim 3.35 #1 (Debian))         id 1COkHX-0002DO-00         for <uzytkownik@adres.email.com>; Mon, 01 Nov 2004 23:04:07 +0100 To: uzytkownik@adres.email.com Subject: test Message-Id: <E1COkHX-0002DO-00@pop3serwer.adres.email.com> From: Uzytkownik <uzytkownik@adres.email.com> Date: Mon, 01 Nov 2004 23:04:07 +0100 . dele 1 +OK Message 1 deleted quit +OK Was it as good for you, as it was for me?  (clean as a baby) dusza - Nie 13 Lut, 2011 podziekowac czlowiek uczy sie przez cale zycie Kat - Pon 14 Lut, 2011 Na jednym z for na którym jestem adminem te¿ ostatnio mieli¶my seriê takich ataków. Te¿ wprowadzili¶my blokowanie konta na 2 godziny po 3 nieudanych próbach. Do tego ka¿dy z grupy adminów i modów musi mieæ has³o sk³adaj±ce siê z minimum 14 znaków zawieraj±cych cyfry i litery. Po ok tygodniu ataki usta³y, moje konto w tym czasie by³o zablokowane co najmniej kilkana¶cie razy. Na szczê¶cie nic gro¼nego siê nie sta³o. studi - Pon 14 Lut, 2011 Kat napisa³/a: Do tego ka¿dy z grupy adminów i modów musi mieæ has³o sk³adaj±ce siê z minimum 14 znaków zawieraj±cych cyfry i litery. Zastanawiamy siê, czy tego obostrzenia nie w³±czyæ i u nas w stosunku do wszystkich nowo rejestruj±cych siê, aby has³o mia³o co najmniej 10 znaków i zawiera³o znaki specjalne i/lub du¿e litery, cyfry. Grzechu16 - Pon 14 Lut, 2011 My¶lê, ¿e wymuszenie wstawienia jakiej¶ cyfry w ha¶le by³a by dobrym rozwi±zaniem. Fabian - Pon 14 Lut, 2011 Nie lepiej wprowadzic przy logowaniu zabezpieczenie tzw. obrazkowe? Litery w ten sposob generowane nie moglyby byc odczytane przez bota, gdyz generowany bylby obrazek z nimi yaszczi - Pon 14 Lut, 2011 Fabian, chyba by³oby to uci±¿liwe dla osób, które maj± zapamietane has³a w przegl±darkach (jak ja) no, ale je¶li mia³oby to zwiekszc bezpieczenstwo... Fabian - Pon 14 Lut, 2011 Ale to zabezpieczenie nie blokuje zapamietywania hase³, chyba, ze chodzi Ci o autowypelnianie pol kruk - Pon 14 Lut, 2011 Nie lubiê stron gdzie trzeba wpisywaæ kody z obrazków, bo nie da siê tego zrobiæ myszk±. MeDAN - Pon 14 Lut, 2011 myszka ? jak to myszka ? studi - Wto 15 Lut, 2011 Fabian napisa³/a: Nie lepiej wprowadzic przy logowaniu zabezpieczenie tzw. obrazkowe? Pomijaj±c to co mówili przedmówcy, chcia³ by¶ mieæ dynamiczne has³o i za ka¿dym logowaniem siê by³o by inne bo losowane automatem. To nawet w bankach nie s± tak restrykcyjni. S± np. modu³y gdzie okre¶lasz has³o a potem jest ono maskowane aby¶ poda³ konkretne litery z has³a, mo¿e byæ potwierdzanie SMS'em, czy nawet oczywi¶cie za op³at± sprzedawaæ forumowiczom klucze RSA s³u¿±ce do autoryzacji, ale IMO zakrawa to na paranoje, to jest tylko forum motocyklowe a nie pentagon. Poza tym wszystkie te metody ochroni± Ciê przed skutecznym z³amaniem has³a a nie przed tym, ¿e jaki¶ robot bêdzie usi³owa³ to zrobiæ, a dla takiego efektu wystarczy stworzyæ sobie jakim¶ generatorem np. 16 znakowe has³o i go u¿ywaæ. Ja osobi¶cie mam 10 znakowe has³o w formie np. DmCmmSmmCm czy DSmmmmCDDS m - ma³a litera D - du¿a litera C - cyfra S - znak specjalny I ¿yczê du¿o zdrowia automatowi który metod± brute force z³amie to has³o, gdy¿ nie jest ono ¿adn± mutacj± s³owa s³ownikowego, ale jest na tyle dobrane, ¿e jest ³atwe do nauczenia siê, i nawet nie muszê go zapamiêtywaæ w przegl±darce. Fabian - Wto 15 Lut, 2011 Nie przesadzajmy, przepisanie kodu z obrazka zajmuje ok 10 sekund... I nie mowie tutaj o samo generujacym sie hasle... Skutecznie to blokuje roboty, ktore probuja lamac hasla, bo takiego kodu z obrazka robot nie odczyta. MeDAN - Wto 15 Lut, 2011 Fabian napisa³/a: bo takiego kodu z obrazka robot nie odczyta. Odczyta odczyta, zale¿y od obrazka oczywi¶cie i kodu skryptu który chce ten obrazek odczytaæ. Ale podsumowuj±c da siê takie grafiki spokojnie odszyfrowaæ a wiem co mówiê bo co¶ tam o programowaniu wiem Fabian - Wto 15 Lut, 2011 Tez wiem, i uwierz mozna zrobic tak, ze nie odczyta MeDAN - Sro 16 Lut, 2011 Tak je¶li mówisz o obrazkach które by³y swego czasu na rapidshare, sam ich nie potrafi³em odczytaæ.... Paulo - Sro 16 Lut, 2011 Hmmm mi te¿ siê co¶ próbowa³o dobraæ do konta grr... dusza - Czw 17 Lut, 2011 kruk napisa³/a: Nie lubiê stron gdzie trzeba wpisywaæ kody z obrazków, bo nie da siê tego zrobiæ myszk±. jak to nie otwierasz jakis artykul na na necie i kopjujesz znaki które s± Ci potrzebne kruk - Czw 17 Lut, 2011 Nie ¶miej siê, zdarza³o mi siê tak robiæ. Czasem tak bardzo nie chce siê ruszyæ rêk±, która podpiera g³owê. teja-1010100 - Pon 21 Lut, 2011 dusza napisa³/a: kruk napisa³/a: Nie lubiê stron gdzie trzeba wpisywaæ kody z obrazków, bo nie da siê tego zrobiæ myszk±. jak to nie otwierasz jakis artykul na na necie i kopjujesz znaki które s± Ci potrzebne To siê u¶mia³em . Masz u mnie browara . kruk - Pon 21 Lut, 2011 Mo¿na te¿ skorzystaæ z klawiatury ekranowej. Tego posta piszê w³a¶nie z jej u¿yciem. Jest trochê klikania, ale nie trzeba odstawiaæ piwa trzymanego w drugiej rêce. grzywka44 - Wto 22 Lut, 2011 Witaj grzywka44 Skrypt wykry³ wielokrotn± próbê b³êdnego logowania (3) na twoje konto, na .:: Forum o Suzuki GS 500 ::. i zablokowa³ je czasowo w celach bezpieczeñstwa. Konto bêdzie z powrotem aktywne Sro 23. Lut, 2011 00:09:16 Je¶li to nie Ty próbowa³e¶/a¶ siê logowaæ, skontaktuj siê z administratorem i poinformuj go o zdarzeniu. Informujê ¿e to nie ja próbowa³em siê logowaæ. studi - Sro 23 Lut, 2011 grzywka44 napisa³/a: Informujê ¿e to nie ja próbowa³em siê logowaæ. Grzywko bez urazy ale przeczytaj dok³adnie pierwsze zdanie http://www.forum.gs500.pl...p=102497#102497 grzywka44 - Sro 23 Lut, 2011 Wiem spoko poprostu zastosowa³em siê do wytycznych podanych w mailu tmi - Sro 23 Lut, 2011 Rozwi±zanie z odczytywaniem kodu z obrazka to co najmniej poroniony pomys³, jakbym mia³ dziennie 20 razy to robiæ to bym sza³u dosta³. Ka¿dy niech sobie ustawi trudne has³o sk³adaj±ce siê z liter, cyfr, ma³ych i du¿ych liter ale nie wiem czy forum takie rozpoznaje, to samo z innymi znakami typu $%^&* i po sprawie. Bot pewnie dzia³a w oparciu o jaki¶ s³ownik, mo¿e nawet brute force ale z³amanie takiego has³a jak #@$%^YHasdvder645^%$W trochê mu zajmie. Takiego has³a nie trzeba bêdzie pamiêtaæ bo chyba ka¿dy zapisuje dane do logowania w przegl±darce swojego komputera. Irys - Sro 23 Lut, 2011 grzywka44 napisa³/a: Wiem spoko poprostu zastosowa³em siê do wytycznych podanych w mailu Leniuch tmi napisa³/a: Ka¿dy niech sobie ustawi trudne has³o sk³adaj±ce siê z liter, cyfr, ma³ych i du¿ych liter tmi, mam has³o które zk³ada siê ze wszystkich znaków o których w³a¶nie napisa³e¶. I zapewniam, ¿e to nie gwarantuje sukcesu w tym przypadku. Z³o¶liwy program nie dostaje naszych hase³, tylko próbuje je z³amaæ, wpisuj±c nawet cokolwiek 3 razy - blokuj±c nam konto. morus13 - Nie 27 Mar, 2011 Moje konto morus12 jest zbanowane od pi±tku, proszê o odblokowanie konta, usuniêcie konta morus13 oraz wprowadzenie jakiej¶ CAPTCHA powiedzmy czteroznakowej w formie cyfr. Kto¶ na moje konto nieustannie od pi±tku próbuje siê zalogowaæ normalny dramat. A skoro macie has³a 10 znakowe co co wam za ró¿nica wpisanie 4 znaków CAPTCHA. studi - Nie 27 Mar, 2011 W ramach walki ze spamem doda³em 3 nowe mody do forum http://www.przemo.org/php...pic.php?t=70971 - Blokowanie spamerskich IP Jest to skrypt synchronizuj±cy siê 2 x dziennie i pobieraj±cy listê nr IP ze specjalnego serwera zbieraj±cego numery z których dzia³aj± boty http://www.przemo.org/php...ic.php?t=113280 - Blocks login bots Ta modyfikacja zmienia nazwy pul u¿ywanych do autoryzacji na forum (automaty u¿ywaj± klasycznych nazw przesy³anych w wywo³aniu $POST), a dodatkowo wprowadza generowanie na podstawie czasu systemowego poprzez skrypt java ciasteczko a nastêpnie sprawdza jego obecno¶æ, powoduje to, ¿e przegl±darki nie obs³uguj±ce JS nie bêd± mog³y siê zalogowaæ, w szczególno¶ci bot nie analizuje odpowiedzi z serwera wiêc nie zapisze sobie ciastka dodatkowo generowanego poprzez JS co uniemo¿liwi mu nawet próbê logowania, co powinno zaowocowaæ nie blokowaniem kont http://www.przemo.org/php...pic.php?t=86048 - reCAPTCHA przy rejestracji To poprawiony mechanizm obrazkowego potwierdzania zak³adania kont na forum, w miejsce oryginalnego, który przez wiêkszo¶æ automatów by³ ju¿ ³amany. dodatkowe pole weryfikacyjne wymagane przy rejestracji, gdzie nale¿y przepisaæ s³owo-klucz podane obok dla nowo rejestrowanych/zmienianych hase³ wymuszone zosta³o has³o conajmniej 8 znakowe i zawieraj±ce znaki specjalne Dodatkowo dodany trochê z lenistwa mod, który ³±czy posty napisane przez jednego u¿ytkownika, je¶li odstêp czasu miêdzy napisaniem kolejnych postów by³ mniejszy ni¿ 24h, ³±czenie waszych postów jest trochê nudne i irytuj±ce, a z kolei oryginalny mod pozwala³ jedynie na scalanie zawsze lub nigdy, a jak kto¶ wraca³ do tematu po miesi±cu czy dwóch to i tak scala³o posty nie wysy³aj±c powiadomieñ o nowym po¶cie do innych userów http://www.przemo.org/php...pic.php?t=28768 - £±czenie postów po 24 godzinach studi - Wto 29 Mar, 2011 Proszê o informacje, czy wprowadzone zmiany zniwelowa³y uci±¿liwo¶ci spowodowane blokuj±cymi siê kontami. bombki - Wto 29 Mar, 2011 od wprowadzenie zmian nie mia³em ¿adnej blokady, a wcze¶niej raz dziennie to norma szymi0801 - Czw 31 Mar, 2011 no ja te¿ dosta³em kilka na¶cie a nawet kilkadziesi±t emaili ¿e kto¶ siê próbowa³ do mnie wkra¶æ na konto i ze zosta³o ono zablokowane a kilka h no ja akurat wiem ze w tym czasie siê nie logowa³em

Powered by phpBB modified by Przemo © 2003 phpBB Group