Jak limitovat autentizační požadavky anonymů

[Wasper]

Ono v konencom dosledku limitovat requesty je hracka, primarne mi slo o to zabranit utok hrubou silou ale ako som pisal, to sa da lahko poriesit limitom neuspesnych prihlaseni a je po probleme.

Tak to se budu hádat. Proti DoSu je jakákoli ochrana s prstem v nose. Horší to máte proti DDoS, a v praxi stejně narazíte na neřešitelný problém, kdy zjistíte, že sice máte hezké per-IP limity, ale krásně Vám to i v době míru zařezává velké zákazníky, kteří mají za jedním ipčkem (nebo ip6kem) firemní proxiny tisíce zaměstnanců.
Nakonec se stejně nějaké formě buď captchy, nebo PoW nevyhnete. S tím, že PoW zákoše tolik neprudí.

[Reklama]

[Wasper]

Edit: Ona by i další cesta byla. Můžete si průběžně dělat analýzu trafficu, jaký je normální pattern, a v době útoku jet proti téhle databázi. Ale to je spíš práce pro celý team (a ostatně u komerčních WAFek je obvykle přístup do jejich reputation database celkem nekřesťansky placená služba)...

[petersveter]

Ono v konencom dosledku limitovat requesty je hracka, primarne mi slo o to zabranit utok hrubou silou ale ako som pisal, to sa da lahko poriesit limitom neuspesnych prihlaseni a je po probleme.

Tak to se budu hádat. Proti DoSu je jakákoli ochrana s prstem v nose. Horší to máte proti DDoS, a v praxi stejně narazíte na neřešitelný problém, kdy zjistíte, že sice máte hezké per-IP limity, ale krásně Vám to i v době míru zařezává velké zákazníky, kteří mají za jedním ipčkem (nebo ip6kem) firemní proxiny tisíce zaměstnanců.
Nakonec se stejně nějaké formě buď captchy, nebo PoW nevyhnete. S tím, že PoW zákoše tolik neprudí.

Co som sa bavil s ludmi ohladom DDOS tak vraj jedine co moze pomoct je skryt server za niekolkymi proxinami ktore sa mozu koordinovat medzi sebou a (docasne)banovat ip adresy. Alebo sa mozu rovno vypnut(co moze aj urobit poskytovatel pripojenia). Takze koncovy server ostane ochraneny od pretazenia. Rovnaky princip ako je vlastne cloudflare. Ale o tom tema nebola, slo mi cisto len o ochranu prihlasovania a v konecnom dosledku sa to da riesit celkom lahko limitovanim requestov na ip a/alebo ip+ucet.

Ale je mozne ze i tak skoncim pri tom POW/VDF rieseni, s cim nemam problem a povodne som to aj planoval aj tak. Captchu ako taku urcite nechcem a uz duplom nie externu.