Модуль входа по ключу для JohnCMS 3.2.2

Сразу оговорюсь, что никакой мультиязычности для четверки не делал. Все по-русски

HOODReD (15.01.2011/08:26)
Олег, смотри что творится )
Такс, фикус.
1. В случаи кражи украсть можно не только автологин, но и линк с ключем.
2. Теперь брутфорсить гораздо проще, брутить можно просто по ключу, и даже ники пер

А ты попробуй
При фходе по ключу скрипт спит 5 секунд, брутить будешь до старости
Украв ключ, ты не сможешь угнать аккаунт, т.к. сменить пароль не сможешь
Читай внимательно мои посты, и ты поймешь, почему безопасность аккаунтов пользователей только выигрывает от данного модуля

Fikus79 (15.01.2011/08:29)
А ты попробуй
При фходе по ключу скрипт спит 5 секунд, брутить будешь до старости
Украв ключ, ты не сможешь угнать аккаунт, т.к. сменить пароль не сможешь
Читай внимательно мои посты, и ты пойм

1."Слип" это не проблема для брутфорса, для брута просто запускается много соединений.
2. Я смогу войти в учетку, этого вполне достаточно.
И напротив, появляется уязвимость, не спорь зря

Не проблема ограничить число попыток входа по ключу в минуту. На крайняк лишить такого входа администрацию

Fikus79 (15.01.2011/08:49)
Не проблема ограничить число попыток входа по ключу в минуту. На крайняк лишить такого входа администрацию

Брр, если я начну тебе все разъяснять, то писать мне много придется.
Такс, ты согласен с моим предыдущим постом что уязвимость есть?

HOODReD иди поспи, кто 2 года бдет брутить ради очетки на вап сайте?

На джоне еще защита от HTTP флуда стоит так что оччччень долго будешь спать!

Ares* (15.01.2011/11:52)
Насчет брута, зачем определенную учетку? Он все которые сможет сбрутит и все

ниасилил, поподробнее

Привязку по IP и арбузу делать нужно или ещё что-то. В общем продумывать нужно.
От брута можно вообще банить возможность входя по ключу если неправильно несколько попыток было. В общем надо развивать идею дальше.

Максим (15.01.2011/12:23)
Привязку по IP и арбузу делать нужно или ещё что-то. В общем продумывать нужно.
От брута можно вообще банить возможность входя по ключу если неправильно несколько попыток было. В общем надо развивать

Неа, не сработает. Я в бошке прикинул все возможные решения использования защиты до написания своих постов. Защиту реализовать не получится.
С другой стороны - зачем реализовывать чтото опасное, и потом придумывать к нему защиту ? И не забывайте автор новичек, ему писать такое простительно. А вот вам нет.
Если вас зацепила идея не изменения пароля, то сделайте проверку по мылу,асе,телефону и т.д. Но не делайте вход по ключу.

Ps Арес, я смотрю ты сообразительный на фоне администрации. Сегоро, варг и походу и максим тоже - малость тупят )