最近我的电子邮件帐户(gmx.net)出现问题。我每天大约有30次失败的登录尝试。但这不是问题的主题(我已经更改了密码)。
让我思考。这是自动攻击吗?如果是这样,它是如何完成的?我查看了页面的HTML代码并发现,只需复制表单元素的源代码并通过本地html文件进行登录尝试(复制和粘贴,新的HTML文件,打开)非常容易。在浏览器中,输入您的凭据,提交)。这意味着自动化这样的事情是一件容易的事(编写一个小脚本,用不同的值做一个帖子 - >暴力攻击)。当我发现时,我正准备给托管的邮件写一封电子邮件,可以在facebook.com上完成相同的过程....
我的印象是,由于我们拥有所有这些新的花式Web框架,如Rails,Django等,我们可以自动防止此类攻击(例如防止Rails包含的伪造http://ruby.about.com/od/security/a/forgeryprotect.htm)
我的问题是:
是否有任何合理的理由允许从其他服务器尝试登录?
不要给我“API”,大多数用于Web应用程序的API在授权之前都需要手动登录过程。
我知道有更多方法可以强行攻击任何网站登录(使用控制浏览器等的框架......)并且有很多方法可以保护(IP禁止等)。但是,不应该禁用远程登录是您将采取的第一个安全机制之一吗?