3
我試圖確保我的rails 3應用程序免受蠻力登錄猜測。我正在使用authlogic。強制用戶(或機器人)在特定次數的失敗登錄嘗試後填寫驗證碼的最佳方式是什麼? authlogic是否有一個內置的機制來記錄來自同一個ip的連續失敗嘗試次數?我會很感激任何幫助。如何使用authlogic強制用戶在特定次數的失敗登錄嘗試後填寫驗證碼?
A
回答
1
Authlogic有Authlogic ::會議:: BruteForceProtection模塊(你可以找到它是如何實現的here)。基本上,它會在N次登錄失敗後阻止一個帳戶。從它的documentation:
默認情況下, consecutive_failed_logins_limit 配置選項設置爲50,如果有人 連續登錄失敗後 50嘗試他們的帳戶將 暫停。這是一個非常自由的 號碼,在這一點上它應該是 顯然有些事情是不正確的。 如果你希望這個數字只是 將配置降低到一個較低的 號:
class UserSession < Authlogic::Session::Base
consecutive_failed_logins_limit 10
end
爲了使這一領域的 模式必須有failed_login_count (整數)場。
您可以激活此模塊並在控制器中添加您的驗證碼機制。
後來編輯:我剛纔看到'來自同一個IP'部分。
如果您需要'來自同一IP'的保護(我假設您的意思是攻擊者對某個特定賬戶沒有興趣,所以目的不是破解某個賬戶,而是一個DOS attack),那麼在我的意見它不應該在這個級別上完成(rails應用服務器)。這應該由您的系統管理員在前端(代理)服務器上處理。
相關問題
- 1. X登錄嘗試失敗後將用戶重定向到驗證碼
- 2. 失敗登錄嘗試失敗後鎖定用戶
- 3. 用Auth0登錄嘗試失敗後鎖定用戶帳戶
- 4. 如何使用JOSSO登錄3次失敗後鎖定用戶?
- 5. 一些登錄失敗嘗試的操作 - 驗證碼
- 6. 「登錄失敗,用戶‘’」試圖使用Windows身份驗證
- 7. 登錄嘗試Servlet - 如果用戶全部3次登錄嘗試失敗,則禁用用戶10分鐘
- 8. 在指定次數的失敗登錄後阻止用戶
- 9. 驗證碼是否足以執行多次失敗的登錄嘗試?
- 10. 。第一次嘗試/成功登錄後,net membership身份驗證失敗
- 11. 如何強制用戶每次登錄?
- 12. 限制失敗的登錄嘗試次數
- 13. 通過Authlogic客戶,登錄和密碼驗證用戶
- 14. 如何在vb6中嘗試3次失敗後鎖定系統登錄?
- 15. 如何在用戶登錄後使用AJAX驗證用戶?
- 16. X嘗試失敗後阻止登錄
- 17. 使用SQL身份驗證的用戶登錄失敗
- 18. Servlet:登錄嘗試失敗
- 19. 失敗登錄嘗試
- 20. 多次登錄嘗試後阻止用戶登錄
- 21. 如何使用Smack XMPP API處理(失敗的)登錄嘗試
- 22. 用戶登錄失敗。嘗試訪問SQL Server Express數據庫
- 23. 如何處理用戶登錄後的其他登錄嘗試?
- 24. 如何在3次在戶外登錄失敗後禁用用戶?
- 25. Authlogic:驗證登錄名/密碼
- 26. 如何更改在Weblogic 10.0中鎖定用戶的最大失敗登錄嘗試次數?
- 27. 首次登錄後強制用戶更改密碼使用窗體身份驗證的asp.net mvc
- 28. 失敗登錄驗證Android
- 29. 記錄失敗的登錄嘗試
- 30. PHP鎖定用戶3次失敗登錄10分鐘後
注意:您仍然需要告訴您的應用服務器登錄失敗,不是嗎? 我唯一的建議是在嘗試手動登錄時調用'being_brute_force_protected?'。如果設置爲true,則渲染capcha,將限制設置爲3次嘗試,鎖定時間爲1毫秒。 – 2010-06-11 15:16:13