Ограничение информации о Логинах пользователей

Принимаем ваши предложения по улучшению системы.
PHP-коды улучшений приветствуются.
voronov
Сообщения: 4
Зарегистрирован: 17 сен 2010, 17:06

Ограничение информации о Логинах пользователей

Непрочитанное сообщение voronov » 15 дек 2011, 14:09

Здравствуйте!
Насколько я понимаю, брут паролей от аккаунтов привел к падению серваков.
Но, даже если это не первопричина, я предлагаю ограничить доступность Логинов пользователей, дабы максимально исключить попытки подбора пароля.
На данный момент, Логины пользователей доступны на страницах с победителями конкурсов(! злоумышленникам есть из кого выбрать, ибо это самые "сладкие" акки !) и на форуме.
Это самые очевидные (просто больше я не стал искать) страницы, возможно есть еще способы узнать Логин (через личные сообщения, рефераллов или еще как-нить).
Предлагаю:
- на страницах конкурсов показывать ИД пользователей, а не логины.
- на форуме прикрутить поле в Личном разделе "Отображаемое имя". Т.е. чтобы в сообщениях отображались данные из того поля, а не Логин.

Незнание Логинов остановит и попытки подбора. Врятли найдутся те, кто будет подбирать логин+пароль.
Лично меня не заботит столько факт о безопасности, сколько факт доступности сайта. Стабильности хочется. Понимаю, что ддос всегда возможен, было бы желание, но не стоит его провоцировать выкладывая в свободный доступ половину аутентификационной пары.

pipale
Сообщения: 624
Зарегистрирован: 13 янв 2011, 14:55

Re: Ограничение информации о Логинах пользователей

Непрочитанное сообщение pipale » 15 дек 2011, 14:12

наверное в этом какой-то смысл есть.

Andrik_
Сообщения: 318
Зарегистрирован: 13 мар 2009, 09:08

Re: Ограничение информации о Логинах пользователей

Непрочитанное сообщение Andrik_ » 15 дек 2011, 15:01

примерный ответ тут, значит к этому были готовы, и видимо что-то нужно было протестировать.
А главное все молчали и не поддержали, что сейчас спохватились то ? :D
Биржа кредитов cap - Покупка, продажа кредитов, а так-же VIP-кредитов JetSwap по выгодной цене.

Аватара пользователя
loller5
Сообщения: 2510
Зарегистрирован: 28 ноя 2010, 01:32
Откуда: Из гнезда.

Re: Ограничение информации о Логинах пользователей

Непрочитанное сообщение loller5 » 15 дек 2011, 15:15

Я писал про закрытие остальных смв, кроме 2-3 последних.

pipale
Сообщения: 624
Зарегистрирован: 13 янв 2011, 14:55

Re: Ограничение информации о Логинах пользователей

Непрочитанное сообщение pipale » 15 дек 2011, 15:23

если защита стоит (а она стоит, у тех, кому есть что защищать :-)), то пофиг, пусть себе логин публикуется. Но речь идет о том, чтобы не появлялось соблазна брутить акки, чтобы от этого сайт не ложился.

voronov
Сообщения: 4
Зарегистрирован: 17 сен 2010, 17:06

Re: Ограничение информации о Логинах пользователей

Непрочитанное сообщение voronov » 15 дек 2011, 15:44

Andrik_ писал(а):примерный ответ тут, значит к этому были готовы, и видимо что-то нужно было протестировать.
А главное все молчали и не поддержали, что сейчас спохватились то ? :D
Честно говоря, не особо часто и вдумчиво читаю форум, поэтому и не поддержал. Насчет звездочек - можно не целиком закрывать, но я бы принудительно ввел отображаемое имя. Вариантов много, но с чем я полностью согласен - светить логины лишний раз не стоит. И как правильно заметил pipale - дело не в безопасности, а в работоспособности. Безопасность - дело добровольное, если не идет в разрез с интересами общества.
Как по мне, так в конкурсах вообще много статистики собрано. Мне хватает письма о том, какое место я занял и не особо важно кто на других позициях :)

Аватара пользователя
Support
Служба поддержки
Сообщения: 4378
Зарегистрирован: 08 фев 2009, 19:24
Откуда: JetSwap
Контактная информация:

Re: Ограничение информации о Логинах пользователей

Непрочитанное сообщение Support » 16 дек 2011, 14:03

Хотя и была атакована страница авторизации, брут паролей тут непродуктивен, т.к. попыток дается не так уж и много, IP-адрес быстро блокируется, так что это явление следует рассматривать больше как DDOS-атаку.
Там несколько явлений наложилось друг на друга, в результате чего сервер лег. Мы внесли необходимые настройки, чтобы уменьшить вероятность повторного сбоя в работе.
Скрытие логинов тут ничего не дает. Возможно стоит подумать насчет авторизации по ID пользователя, а не логину, а логин как раз будет служить отображаемым именем и не более. Этим мы убережем многих пользователей, использующих одинаковый логин/пароль на разных сайтах - ID будет уникален.
С уважением, Служба поддержки.
http://www.jetswap.com

Аватара пользователя
loller5
Сообщения: 2510
Зарегистрирован: 28 ноя 2010, 01:32
Откуда: Из гнезда.

Re: Ограничение информации о Логинах пользователей

Непрочитанное сообщение loller5 » 16 дек 2011, 19:13

Сап, что интересного сделали то?
Как сервер упал? Из-за ретривов что ли? с 1 IP всего лишь? :D

Аватара пользователя
Support
Служба поддержки
Сообщения: 4378
Зарегистрирован: 08 фев 2009, 19:24
Откуда: JetSwap
Контактная информация:

Re: Ограничение информации о Логинах пользователей

Непрочитанное сообщение Support » 16 дек 2011, 20:15

Сервер упал из-за 100% загрузки диска. Точнее он даже не падал, а медленно полз, мы сумели восстановить работу без перезагрузки.
Там шел ддос, backup, обработка статистики cpanel, висела куча скриптов отправки оплачиваемой почты, и соответственно еще большая куча exim'ов :lol:
Мы перенесли часть файлов на другой диск и ограничили запуск скриптов почты одним экземпляром.
Скоро сделаем автобан самых назойливых ip-адресов.
С уважением, Служба поддержки.
http://www.jetswap.com

Аватара пользователя
loller5
Сообщения: 2510
Зарегистрирован: 28 ноя 2010, 01:32
Откуда: Из гнезда.

Re: Ограничение информации о Логинах пользователей

Непрочитанное сообщение loller5 » 16 дек 2011, 20:20

Ясно. :D
Как то нежданчиком вы уронились. Не ожидал от вас такого, что чей-то простенький ддос уложит :o :D
Ата-та, Сап! :D

Ответить