3
我試圖確保我的rails 3應用程序免受蠻力登錄猜測。我正在使用authlogic。強制用戶(或機器人)在特定次數的失敗登錄嘗試後填寫驗證碼的最佳方式是什麼? authlogic是否有一個內置的機制來記錄來自同一個ip的連續失敗嘗試次數?我會很感激任何幫助。如何使用authlogic強制用戶在特定次數的失敗登錄嘗試後填寫驗證碼?
A
回答
1
Authlogic有Authlogic ::會議:: BruteForceProtection模塊(你可以找到它是如何實現的here)。基本上,它會在N次登錄失敗後阻止一個帳戶。從它的documentation:
默認情況下, consecutive_failed_logins_limit 配置選項設置爲50,如果有人 連續登錄失敗後 50嘗試他們的帳戶將 暫停。這是一個非常自由的 號碼,在這一點上它應該是 顯然有些事情是不正確的。 如果你希望這個數字只是 將配置降低到一個較低的 號:
class UserSession < Authlogic::Session::Base
consecutive_failed_logins_limit 10
end
爲了使這一領域的 模式必須有failed_login_count (整數)場。
您可以激活此模塊並在控制器中添加您的驗證碼機制。
後來編輯:我剛纔看到'來自同一個IP'部分。
如果您需要'來自同一IP'的保護(我假設您的意思是攻擊者對某個特定賬戶沒有興趣,所以目的不是破解某個賬戶,而是一個DOS attack),那麼在我的意見它不應該在這個級別上完成(rails應用服務器)。這應該由您的系統管理員在前端(代理)服務器上處理。
相關問題
- 1. X登錄嘗試失敗後將用戶重定向到驗證碼
- 2. 多次登錄失敗後啓用驗證碼 - 如何實現?
- 3. 失敗登錄嘗試失敗後鎖定用戶
- 4. 用Auth0登錄嘗試失敗後鎖定用戶帳戶
- 5. 如何使用JOSSO登錄3次失敗後鎖定用戶?
- 6. 嘗試使用SQL身份驗證登錄失敗
- 7. 一些登錄失敗嘗試的操作 - 驗證碼
- 8. 「登錄失敗,用戶‘’」試圖使用Windows身份驗證
- 9. 登錄嘗試Servlet - 如果用戶全部3次登錄嘗試失敗,則禁用用戶10分鐘
- 10. 驗證碼是否足以執行多次失敗的登錄嘗試?
- 11. 。第一次嘗試/成功登錄後,net membership身份驗證失敗
- 12. 如何強制用戶每次登錄?
- 13. 通過Authlogic客戶,登錄和密碼驗證用戶
- 14. 限制失敗的登錄嘗試次數
- 15. 如何在vb6中嘗試3次失敗後鎖定系統登錄?
- 16. 爲很多登錄嘗試失敗後計時用戶
- 17. 如何在3次登錄嘗試後阻止用戶?
- 18. 如何在用戶登錄後使用AJAX驗證用戶?
- 19. X嘗試失敗後阻止登錄
- 20. Authlogic:功能測試失敗驗證
- 21. 兩次登錄失敗後,使用表單身份驗證和公用帳號以用戶身份登錄
- 22. 使用SQL身份驗證的用戶登錄失敗
- 23. 使用Grails + Spring Security失敗登錄嘗試後自動鎖定帳戶
- 24. 失敗登錄嘗試
- 25. Servlet:登錄嘗試失敗
- 26. 多次登錄嘗試後阻止用戶登錄
- 27. 如何使用Smack XMPP API處理(失敗的)登錄嘗試
- 28. Authlogic:驗證登錄名/密碼
- 29. CakePHP 2.5.7 - 使用非標準用戶登錄時驗證失敗
- 30. 錄製的用戶登錄與Authlogic
注意:您仍然需要告訴您的應用服務器登錄失敗,不是嗎? 我唯一的建議是在嘗試手動登錄時調用'being_brute_force_protected?'。如果設置爲true,則渲染capcha,將限制設置爲3次嘗試,鎖定時間爲1毫秒。 – 2010-06-11 15:16:13