嗨,这是我在这里的第一篇文章。我正在开发一个具有公共用户注册和登录功能的网站项目。现在,我正在概念化整个项目的逻辑流程,目前停留在身份验证和安全部分。
我用谷歌搜索并找不到答案。我也搜索了sof,但努力也是徒劳的。我想问的很具体。
从我在其他软文中看到的内容来看,似乎在尝试登录 n 次后减轻暴力攻击、ip 禁止或时间延迟是最好的解决方案之一。当然不要忘记白名单和黑名单以及验证码。当然,我已经计划实施上述技术。(可能不是验证码)
我的问题是,是否可以基于僵尸网络或“黑客”不使用启用 javascript 的浏览器进行“工作”的假设来检测启用或无法阻止非法登录尝试?
例如,“如果禁用了 js,则停止‘渲染’登录表单。//检测到暴力尝试”
最后,这个假设是基于这样一个事实,即我的所有用户都将拥有一个支持 js 的浏览器才能使用我的网站。
此方法将与其他缓解方法同时运行。
请赐教。谢谢!
While u2702 makes a good point, I think it's good to keep in mind that just because a solution doesn't dissuade all attackers doesn't mean it should be abandoned. In fact, I think this is a quite good method to deter the vast majority of bots.
To answer the question at hand, you could have all prospective users calculate the MD5 of a value you've generated using a cryptographically secure random function. Faking this without javascript would be more-or-less impossible (as far as I can see).
Disclaimer: Implementation of this method will ban Richard Stallman and people who use NoScript from your site.
不可靠或不有效。你不能真正相信来自客户端的任何东西。
您要求客户端在 javascript 中执行的任何操作以证明存在 javascript 都可以被模拟。强迫他们模仿将迫使他们变得更聪明并花费更多资源,这对你来说可能是一个胜利。