JetSwap

Здравствуйте!
Насколько я понимаю, брут паролей от аккаунтов привел к падению серваков.
Но, даже если это не первопричина, я предлагаю ограничить доступность Логинов пользователей, дабы максимально исключить попытки подбора пароля.
На данный момент, Логины пользователей доступны на страницах с победителями конкурсов(! злоумышленникам есть из кого выбрать, ибо это самые "сладкие" акки !) и на форуме.
Это самые очевидные (просто больше я не стал искать) страницы, возможно есть еще способы узнать Логин (через личные сообщения, рефераллов или еще как-нить).
Предлагаю:
- на страницах конкурсов показывать ИД пользователей, а не логины.
- на форуме прикрутить поле в Личном разделе "Отображаемое имя". Т.е. чтобы в сообщениях отображались данные из того поля, а не Логин.

Незнание Логинов остановит и попытки подбора. Врятли найдутся те, кто будет подбирать логин+пароль.
Лично меня не заботит столько факт о безопасности, сколько факт доступности сайта. Стабильности хочется. Понимаю, что ддос всегда возможен, было бы желание, но не стоит его провоцировать выкладывая в свободный доступ половину аутентификационной пары.

наверное в этом какой-то смысл есть.

примерный ответ тут, значит к этому были готовы, и видимо что-то нужно было протестировать.
А главное все молчали и не поддержали, что сейчас спохватились то ?

Я писал про закрытие остальных смв, кроме 2-3 последних.

если защита стоит (а она стоит, у тех, кому есть что защищать ), то пофиг, пусть себе логин публикуется. Но речь идет о том, чтобы не появлялось соблазна брутить акки, чтобы от этого сайт не ложился.

Andrik_ писал(а):примерный ответ тут, значит к этому были готовы, и видимо что-то нужно было протестировать.
А главное все молчали и не поддержали, что сейчас спохватились то ?

Честно говоря, не особо часто и вдумчиво читаю форум, поэтому и не поддержал. Насчет звездочек - можно не целиком закрывать, но я бы принудительно ввел отображаемое имя. Вариантов много, но с чем я полностью согласен - светить логины лишний раз не стоит. И как правильно заметил pipale - дело не в безопасности, а в работоспособности. Безопасность - дело добровольное, если не идет в разрез с интересами общества.
Как по мне, так в конкурсах вообще много статистики собрано. Мне хватает письма о том, какое место я занял и не особо важно кто на других позициях

Хотя и была атакована страница авторизации, брут паролей тут непродуктивен, т.к. попыток дается не так уж и много, IP-адрес быстро блокируется, так что это явление следует рассматривать больше как DDOS-атаку.
Там несколько явлений наложилось друг на друга, в результате чего сервер лег. Мы внесли необходимые настройки, чтобы уменьшить вероятность повторного сбоя в работе.
Скрытие логинов тут ничего не дает. Возможно стоит подумать насчет авторизации по ID пользователя, а не логину, а логин как раз будет служить отображаемым именем и не более. Этим мы убережем многих пользователей, использующих одинаковый логин/пароль на разных сайтах - ID будет уникален.

Сап, что интересного сделали то?
Как сервер упал? Из-за ретривов что ли? с 1 IP всего лишь?

Сервер упал из-за 100% загрузки диска. Точнее он даже не падал, а медленно полз, мы сумели восстановить работу без перезагрузки.
Там шел ддос, backup, обработка статистики cpanel, висела куча скриптов отправки оплачиваемой почты, и соответственно еще большая куча exim'ов
Мы перенесли часть файлов на другой диск и ограничили запуск скриптов почты одним экземпляром.
Скоро сделаем автобан самых назойливых ip-адресов.

Ясно.
Как то нежданчиком вы уронились. Не ожидал от вас такого, что чей-то простенький ддос уложит
Ата-та, Сап!