Commentaires sur : Comment mettre en place une limite de connexion par ip avec Memcached http://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html Upgrade your mind Sat, 26 May 2012 18:33:00 +0000 hourly 1 http://wordpress.org/?v=3.3.2 Par : Anonymehttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-92019 Anonyme Fri, 02 Oct 2009 19:20:06 +0000 http://www.korben.info/?p=6509#comment-92019 @Siko: "Suffit de mettre une varaible $_SESSION qui s’incrémente a chaque fois qu’un utilisateur remplis un mots de passe faux" Mauvais, le bot login n'a qu'à supprimer le cookie entre chaque tentative ... @Siko: « Suffit de mettre une varaible $_SESSION qui s’incrémente a chaque fois qu’un utilisateur remplis un mots de passe faux »

Mauvais, le bot login n’a qu’à supprimer le cookie entre chaque tentative …

]]> Par : demarcqhttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-52170 demarcq Tue, 13 Jan 2009 20:06:53 +0000 http://www.korben.info/?p=6509#comment-52170 Un module bien pratique pour apache qui fait bien le boulot : http://www.zdziarski.com/projects/mod_evasive/ Un module bien pratique pour apache qui fait bien le boulot : http://www.zdziarski.com/projects/mod_evasive/

]]> Par : Totohttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-52158 Toto Tue, 13 Jan 2009 19:04:49 +0000 http://www.korben.info/?p=6509#comment-52158 Ne serait-il-pas possible de rajouter une pause d'une demi-seconde à la vérification du mot de passe coté serveur ? Ainsi, pour tester séquentiellement beaucoup de mot de passe, ça rallongerait considérablement le temps d'exécution de toutes les tentatives et pourrait limiter cette pratique, non ? Ne serait-il-pas possible de rajouter une pause d’une demi-seconde à la vérification du mot de passe coté serveur ?

Ainsi, pour tester séquentiellement beaucoup de mot de passe, ça rallongerait considérablement le temps d’exécution de toutes les tentatives et pourrait limiter cette pratique, non ?

]]> Par : petitchevalrouxhttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51824 petitchevalroux Sun, 11 Jan 2009 14:14:37 +0000 http://www.korben.info/?p=6509#comment-51824 hihi ! en plus si je dit pas de connerie je crois que memcache est en lru par defaut hihi ! en plus si je dit pas de connerie je crois que memcache est en lru par defaut

]]> Par : coolmichttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51821 coolmic Sun, 11 Jan 2009 12:54:01 +0000 http://www.korben.info/?p=6509#comment-51821 Moi aussi je pense que c'est la meilleur solution. Et ils sont pas obliger de stocker tous les ip, une file LRU devrait suffire. Moi aussi je pense que c’est la meilleur solution. Et ils sont pas obliger de stocker tous les ip, une file LRU devrait suffire.

]]> Par : coolmichttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51791 coolmic Sat, 10 Jan 2009 23:32:44 +0000 http://www.korben.info/?p=6509#comment-51791 @Armetiz : certes, les données sont stockés sur le serveur, mais un cookie est tout de même stocker sur ton navigateur. Il contient l'id de la session, afin de pouvoir associer à tel visiteur le fichier de session correspondant! @Armetiz : certes, les données sont stockés sur le serveur, mais un cookie est tout de même stocker sur ton navigateur. Il contient l’id de la session, afin de pouvoir associer à tel visiteur le fichier de session correspondant!

]]> Par : Mysthttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51772 Myst Sat, 10 Jan 2009 17:34:43 +0000 http://www.korben.info/?p=6509#comment-51772 @<a href="#comment-51678" rel="nofollow">Siko</a>: Si ce que dit Armetiz est juste, l'optique d'amélioration des performances est perdu. Mais sinon, le module Memcache existe avec PHP et n'a pas l'air difficile à mettre en place. @Siko: Si ce que dit Armetiz est juste, l’optique d’amélioration des performances est perdu.
Mais sinon, le module Memcache existe avec PHP et n’a pas l’air difficile à mettre en place.

]]> Par : kanehttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51754 kane Sat, 10 Jan 2009 11:46:36 +0000 http://www.korben.info/?p=6509#comment-51754 @<a href="#comment-51751" rel="nofollow">Armetiz</a>: je dirais même plus, tu peux déporter la sauvegarde de la session en bdd avec juste une petite fonction PHP, voir la doc pour plus de détails ;D . Edit: http://a-pellegrini.developpez.com/tutoriels/php/session-db/ @Armetiz: je dirais même plus, tu peux déporter la sauvegarde de la session en bdd avec juste une petite fonction PHP, voir la doc pour plus de détails ;D .

Edit: http://a-pellegrini.developpez.com/tutoriels/php/session-db/

]]> Par : Armetizhttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51751 Armetiz Sat, 10 Jan 2009 11:13:36 +0000 http://www.korben.info/?p=6509#comment-51751 @Billyboylindien: La variable session n'est pas stocké dans un cookie sur le client, mais sur le serveur dans un fichier par défaut, et déportable vers un BDD suite à une conf d'apache (il me semble). Concernant la sécurité en général.. Rien n'est inviolable, tout n'est qu'une question de temps, et comme le temps c'est de l'argent. Une bonne sécurité revient à dire qu'il faut beaucoup de temps pour la violer :) @Billyboylindien: La variable session n’est pas stocké dans un cookie sur le client, mais sur le serveur dans un fichier par défaut, et déportable vers un BDD suite à une conf d’apache (il me semble).

Concernant la sécurité en général.. Rien n’est inviolable, tout n’est qu’une question de temps, et comme le temps c’est de l’argent. Une bonne sécurité revient à dire qu’il faut beaucoup de temps pour la violer

]]> Par : Paganelhttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51722 Paganel Sat, 10 Jan 2009 06:28:02 +0000 http://www.korben.info/?p=6509#comment-51722 Ils sont gentils, chez Twitter, mais un brevet existe depuis déjà dix ans pour cette méthode, et qui n'a même pas besoin de connaitre l'IP ! Cela étant, il fait peut-être partie de ceux qu'IBM a mis dans le domaine public, vu que ce brevet (US) a probablement été pris par précaution histoire de ne pas se faire chiper la méthode par un concurrent (il n'y a en effet pas de pognon à y gagner) n'y a mais ça n'interdit pas de rendre à César la paternité ce qui a été inventé par César : http://www.wikipatents.com/6587032.html Ils sont gentils, chez Twitter, mais un brevet existe depuis déjà dix ans pour cette méthode, et qui n’a même pas besoin de connaitre l’IP !

Cela étant, il fait peut-être partie de ceux qu’IBM a mis dans le domaine public, vu que ce brevet (US) a probablement été pris par précaution histoire de ne pas se faire chiper la méthode par un concurrent (il n’y a en effet pas de pognon à y gagner) n’y a mais ça n’interdit pas de rendre à César la paternité ce qui a été inventé par César :

http://www.wikipatents.com/6587032.html

]]> Par : Billyboylindienhttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51701 Billyboylindien Fri, 09 Jan 2009 21:53:07 +0000 http://www.korben.info/?p=6509#comment-51701 @Siko: Un cookie ne sert pas trop dans le cas d'un bruteforce. Le gars script et ne fais pas ca avec son navigateur. Et s'il y a des cookies, il sont scriptées aussi ;) Donc la sessions c'est mort amha @Siko: Un cookie ne sert pas trop dans le cas d’un bruteforce. Le gars script et ne fais pas ca avec son navigateur. Et s’il y a des cookies, il sont scriptées aussi
Donc la sessions c’est mort amha

]]> Par : Ludo42http://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51699 Ludo42 Fri, 09 Jan 2009 21:22:37 +0000 http://www.korben.info/?p=6509#comment-51699 @<a href="#comment-51679" rel="nofollow">bb</a>: Le brutforce c'est des milliers de requêtes, je pense pas que tu puisse trouver des milliers d'IP d'un petit claquement de doigt ;) Et puis ça serait super long. C'est un problème récurent, les pirates assomment souvent les serveurs de requêtes pour arriver à leurs fins. C'est pour ça que des IDS sont utilisés dans les gare, les aéroports etc... pour surveiller entre autre le nombre de requêtes par IP @bb: Le brutforce c’est des milliers de requêtes, je pense pas que tu puisse trouver des milliers d’IP d’un petit claquement de doigt
Et puis ça serait super long.

C’est un problème récurent, les pirates assomment souvent les serveurs de requêtes pour arriver à leurs fins. C’est pour ça que des IDS sont utilisés dans les gare, les aéroports etc… pour surveiller entre autre le nombre de requêtes par IP

]]> Par : Sikohttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51680 Siko Fri, 09 Jan 2009 19:49:57 +0000 http://www.korben.info/?p=6509#comment-51680 Oui mais en même temps rien n'est inviolable, cette méthodes prend a tout peter 10 min a mettre en place, et c'est toujours intéressant de sécuriser un peu plus son site même avec des truc futiles... de toutes façon un vraie hacker n'as pas besoin d'utiliser du bruteforce en général.. un "man in the middle" est plus dur a mettre en place et requiert plus de connaissance mais a mon avis 95% des sites ne sont pas protéger contre. Oui mais en même temps rien n’est inviolable, cette méthodes prend a tout peter 10 min a mettre en place, et c’est toujours intéressant de sécuriser un peu plus son site même avec des truc futiles… de toutes façon un vraie hacker n’as pas besoin d’utiliser du bruteforce en général.. un « man in the middle » est plus dur a mettre en place et requiert plus de connaissance mais a mon avis 95% des sites ne sont pas protéger contre.

]]> Par : bbhttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51679 bb Fri, 09 Jan 2009 19:47:04 +0000 http://www.korben.info/?p=6509#comment-51679 ba ouais, mai si on sait faire un prog de brute force, on sait quand meme changer son ip nan ? c ptetre plus long mais cest faisable Dites moi si jme trompe ba ouais, mai si on sait faire un prog de brute force, on sait quand meme changer son ip nan ? c ptetre plus long mais cest faisable Dites moi si jme trompe

]]> Par : Sikohttp://korben.info/comment-mettre-en-place-une-limite-de-connexion-par-ip-avec-memcached.html/comment-page-1#comment-51678 Siko Fri, 09 Jan 2009 19:39:17 +0000 http://www.korben.info/?p=6509#comment-51678 Suffit de mettre une varaible $_SESSION qui s'incrémente a chaque fois qu'un utilisateur remplis un mots de passe faux. Coupler avec une autre session qui enregistre le timestamp de la dérnière tentative pour limiter la fréquence et en ajoutant a cela les cookies. On arrive certes pas au même niveau que le script de twitter mais en 15 sec on peut faire chier plusieurs heure un hacker pas très doué. Si a chaque fois ils doit fermer et relancer son navigateur pour relancer les sessions. D'autant plus qu'on peut une fois la limite atteinte, cette fois ci ajouter a la bdd. Suffit de mettre une varaible $_SESSION qui s’incrémente a chaque fois qu’un utilisateur remplis un mots de passe faux. Coupler avec une autre session qui enregistre le timestamp de la dérnière tentative pour limiter la fréquence et en ajoutant a cela les cookies. On arrive certes pas au même niveau que le script de twitter mais en 15 sec on peut faire chier plusieurs heure un hacker pas très doué. Si a chaque fois ils doit fermer et relancer son navigateur pour relancer les sessions.

D’autant plus qu’on peut une fois la limite atteinte, cette fois ci ajouter a la bdd.

]]>