2
雖然關於Captcha實施的討論很多,但我無法找到有關應該向Captcha申請Captcha的具體情況的任何細節,特別是針對服務消費者的金融應用。如果用戶已經登錄何時詢問驗證碼規則?
- 如果3失敗的登錄/註冊試圖
- 如果3重複調用
我相信這些規則驅動:
一些我認爲規則。通過安全風險,有沒有更好的方法來管理這一點?任何圖書館,這有助於解決這個問題?
A
回答
2
不幸的是,在這種情況下,您總是必須在安全性和便利性之間做出妥協。我認爲你選擇的具體數字很好,一個人可能將不會做這些事情,如果有的話,它是可能不是合法的用戶。我建議在開始要求CAPTCHA繼續後,您還要繼續計數這些情況並在某個時間點記錄警報,並在他們的行爲失控時最終禁止IP地址。
你必須妥協的一個地方就是你如何跟蹤用戶。如果你用cookies來做,它會更準確,但是bot在大多數情況下不會發送cookie,從而避免了跟蹤。唯一真正的解決方案就是跟蹤IP地址。問題在於共享IP地址後面的任何用戶看起來都是相同的,所以如果三個用戶都只有一次登錄失敗,那麼它看起來與一個用戶失敗三次相同(主要)。另外,如果有人因濫用您的網站而被合法禁止並且位於共享IP地址後面,則其他合法客戶可能會受到影響。總結一下,您需要在安全性和便利性之間找到所需的餘額。
+0
通過IP地址或用戶禁止可能導致針對個人或整個網絡的拒絕服務攻擊。只需實施驗證碼。 –
+0
@MarcusAdams這就是爲什麼我說他需要找到平衡。如果有人從一個地址濫用網站,應該禁止該網站,但他必須考慮對其他用戶的潛在影響。我只建議在嚴重濫用之後禁止IP地址,而不僅僅是一些不正確的密碼。 –
+0
禁止IP地址不起作用,因爲許多用戶根據國家/地區通過相同的IP地址。 – anonmys
相關問題
- 1. Laravel密碼驗證規則
- 2. 訪問驗證規則日期/時間
- 3. 規則驗證color_id
- 4. Jquery - 驗證 - 規則
- 5. CodeIgniter驗證規則
- 6. Laravel驗證規則
- 7. Combobox驗證規則
- 8. yii驗證規則
- 9. iptables規則驗證
- 10. Laravel驗證:如何訪問屬性的規則定製驗證
- 11. jquery驗證郵政編碼的規則
- 12. 驗證規則無法正確更新2驗證規則
- 13. jQuery自定義驗證規則問題
- 14. 訪問/驗證規則 - 計算
- 15. 自定義驗證規則問題
- 16. MS訪問日期驗證規則
- 17. 驗證與規則(JQuery驗證)
- 18. jquery驗證:自定義驗證規則
- 19. 訪問2013:基於查詢結果的驗證規則
- 20. 即時更改驗證規則
- 21. 更改驗證規則上即時
- 22. Kohana的驗證規則(該規則或該規則)
- 23. IDataErrorInfo WPF驗證規則/組
- 24. ISNUMBER()數字驗證規則
- 25. Jquery驗證插件規則()
- 26. jquery驗證規則包含
- 27. Laravel 5驗證規則required_with:password_confirmation
- 28. Externalise驗證規則JSF
- 29. Yii數組驗證規則
- 30. 轉義Laravel驗證規則
評論:關鍵問題是如何管理這些規則?靜態在代碼中硬編碼或以其他方式管理它?任何軟件庫可能有助於此? – anonmys