Citat:
Originally posted by BoXon@Aug 22 2009, 16:38
Chansen att en hacker på 3 försök skulle lyckas använda exakt samma user agent, samma ip-range och dessutom lyckats gissa rätt på den unika-slumpmässiga hashen borde ju vara en chans på bara någon promille?
|
Risken att hackern använder samma IP range är väldigt liten, men det spelar ingen roll, så länge inte hackern har fått tag i cookievärdet är det i praktiken helt omöjligt att gissa sig till cookien, det räcker då med en slumpmässig kod, IP-nr och User agent är inte till för detta.
Problemet är att XSS-hål är vanliga, väldigt många sidor har sådana hål. Det jag pratar om är om hackern lyckats få tag i cookien via XSS, det är då som det viktigt att cookien är knuten till ett IP.
Att enbart banna IP-nr är också fel, därför att det är enkelt att byta IP-nr och fortsätta en wordlist/bruteforce attack ifrån ett nytt fräscht IP nr.
Nej ,det är kontot som skall låsas vid X antal felaktiga inloggningsförsök, och efter XX antal minuter blir det automatiskt upplåst, precis som dom flesta bankerna har det, även dom bättre forumen fungerar på detta sätt, t.ex. vBulletin.