我想以某种方式从多个,无效,登录尝试或多个用户注册(例如机器人)保护我的登录/注册表单。 我在cookie会话中设置了一些值,告诉服务器端脚本在处理请求时应用时间延迟。延迟取决于尝试次数并增加延迟。 这是做正确的事吗?请注意,如果没有启用cookie支持,表单将无法使用。
答案 0 :(得分:0)
没有。客户端可以传递他们想要的任何cookie。攻击者可以选择不发送告诉服务器缓慢的cookie。
tar pit 的常见实现是按IP地址存储尝试(它们不能用TCP欺骗IP地址,因为它基于连接,而不是无连接)。如果失败的尝试超过阈值,则将其减慢(简单的暂停/睡眠将会执行),但不要逐渐变慢。
这个想法是来自同一个共享IP地址的合法用户不会受到太大影响,如果它们只有一次它们很慢(因为它们很可能第一次成功登录),但自动攻击变得困难,因为它减慢了他们显着下降。尝试5秒钟。