嗨,这是我在这里的第一篇文章。我正在开发一个具有公共用户注册和登录功能的网站项目。现在,我正在概念化整个项目的逻辑流程,目前仍停留在身份验证和安全部分。
我用Google搜索,无法找到答案。我也搜索过sof,但努力也是徒劳的。 我想问的是非常具体的。
从我在其他帖子中读到的内容来看,似乎是为了缓解暴力攻击,在禁止n次尝试登录后进行ip禁止或延时是最佳解决方案之一。当然不要忘记白名单和黑名单以及Captcha。当然我已经计划实施上述技术了。(也许不是验证码)
我的问题是,是否有可能检测到启用了javascript或无法阻止非法登录尝试基于bot-net或'hackers' 的假设>使用支持JavaScript的浏览器进行“工作”?
例如,“如果禁用js,则停止登录的'呈现' 形成。 //检测到强力尝试“
最后,这个假设是基于这样一个事实,即我的所有用户都将使用支持js的浏览器来使用我的网站。
此方法将与其他缓解方法同时运行。
请指教。 谢谢!
答案 0 :(得分:0)
不可靠或有效。你真的不相信来自客户端的任何东西。
您要求客户端使用javascript来证明javascript存在的任何内容都可以被模拟。迫使他们冒充他们会迫使他们变得更聪明,并且会花更多的资源,这对你来说可能是个胜利。
答案 1 :(得分:0)
虽然u2702提出了一个很好的观点,但我认为最好记住,仅仅因为解决方案不能阻止所有攻击者并不意味着它应该被抛弃。事实上,我认为这是阻止绝大多数机器人的一个很好的方法。
要回答手头的问题,您可以让所有潜在用户使用加密安全随机函数计算您生成的值的MD5。在没有javascript的情况下伪装这个或多或少是不可能的(据我所见)。
免责声明:此方法的实施将禁止Richard Stallman和使用NoScript的人员。