Bonjour,
Avec tout le bruit autour des attaques de twitter, je me pause quelque
petites questions (dont vous avez peut être les réponses) :
Merci pour vos réponses
2009/1/7 guillaume belleguic [email protected]
- et si oui cette attaque met elle en cause une faille de ROR ? (selon
mais recherche non mais bon…)
D’après ce que j’ai entendu dire c’était juste qu’ils avaient des mot de
passe pourris mais je n’en sais pas vraiment plus.
–
Nicolas Mérouze
http://www.yeastymobs.com
faut quand même penser à le remettre à zéro de temps en temps non ?
2009/1/7 Guillaume B. [email protected]
en lisant la fin de l’article j’ai pensé à un truc tout con anti “force
brute” mais qui n’est que très peu gênant pour l’utilisation normale : a
chaque essai on double le delai d’attente pour l’essai suivant.
ainsi les 2 ou 3 essais se passent de manière transparente. et si qqu’un
cherche vraiment son mot de passe, ça lui prendra éventuellement du
temps (Ã
la 10e tentative on est déjà au quart d’heure si on avait initialisé le
délai à 2 secondes) mais ça restera toujours possible.
c’est mon autoradio qui avait ça (pour mettre le code après l’avoir
débranché), j’ai trouvé ça d’un rapport simplicité/efficacité déroutant
(((-:
gUI
Le 7 janvier 2009 22:05, Pierre V. [email protected] a écrit
:
–
Pour la santé de votre ordinateur, préférez les logiciels libres.
Lire son mail : http://www.mozilla-europe.org/fr/products/thunderbird/
Browser le web : http://www.mozilla-europe.org/fr/products/firefox/
Suite bureautique : http://fr.openoffice.org/
Merci pour vos réponses.
Effectivement l’attaque par dictionnaire est à prendre en compte…
2009/1/8 Guillaume B. [email protected]
Le 8 janvier 2009 00:07, Pierre V. [email protected] a écrit
:
faut quand même penser à le remettre à zéro de temps en temps non ?
dès que le mot de passe est bon bien sur !
gUI
–
Pour la santé de votre ordinateur, préférez les logiciels libres.
Lire son mail : http://www.mozilla-europe.org/fr/products/thunderbird/
Browser le web : http://www.mozilla-europe.org/fr/products/firefox/
Suite bureautique : http://fr.openoffice.org/
Le 7 janv. 09 à 22:45, Guillaume B. a écrit :
en lisant la fin de l’article j’ai pensé à un truc tout con anti
“force brute” mais qui n’est que très peu gênant pour l’utilisation
normale : a chaque essai on double le delai d’attente pour l’essai
suivant.ainsi les 2 ou 3 essais se passent de manière transparente. et si
qqu’un cherche vraiment son mot de passe, ça lui prendra
éventuellement du temps (à la 10e tentative on est déjà au quart
d’heure si on avait initialisé le délai à 2 secondes) mais ça
restera toujours possible.
Nicolas C.
Guillaume B. wrote:
en lisant la fin de l’article j’ai pensé à un truc tout con anti “force
brute” mais qui n’est que très peu gênant pour l’utilisation normale : a
chaque essai on double le delai d’attente pour l’essai suivant.ainsi les 2 ou 3 essais se passent de manière transparente. et si qqu’un
cherche vraiment son mot de passe, ça lui prendra éventuellement du
temps (Ã
la 10e tentative on est déjà au quart d’heure si on avait initialisé le
délai à 2 secondes) mais ça restera toujours possible.
Augmenter le délai, oui mais il faut faudra fixer une limite supérieure,
parce que sinon, il va y avoir une attaque très simple à mettre en
place: un robot qui rempli des mdp bidons simplement pour faire
augmenter les timers sur des milliers de compte, de cette manière quand
l’utilisateur légitime va vouloir se connecter il va se faire jeter et
devra attendre 10 minutes.
–
Vidéos de formation à distance sur http://www.digiprof.fr
mouais… c’est vrai que c’est pas très adapté au net ce truc…
dommage, je
trouvais ça cool (-;
gUI
Le 8 janvier 2009 16:52, Cyril M. [email protected] a écrit :
temps (Ã
devra attendre 10 minutes.
–
Pour la santé de votre ordinateur, préférez les logiciels libres.
Lire son mail : http://www.mozilla-europe.org/fr/products/thunderbird/
Browser le web : http://www.mozilla-europe.org/fr/products/firefox/
Suite bureautique : http://fr.openoffice.org/
Guillaume B. a écrit :
en lisant la fin de l’article j’ai pensé à un truc tout con anti “force
brute” mais qui n’est que très peu gênant pour l’utilisation normale : a
chaque essai on double le delai d’attente pour l’essai suivant.ainsi les 2 ou 3 essais se passent de manière transparente. et si qqu’un
cherche vraiment son mot de passe, ça lui prendra éventuellement du
temps (à la 10e tentative on est déjà au quart d’heure si on avait
initialisé le délai à 2 secondes) mais ça restera toujours possible.
Ton concept approfondi sur Coding Horror :
http://www.codinghorror.com/blog/archives/001206.html
Après le problème si on filtre sur l’IP (pour eviter un DOS) est qu’on peut
toujours utiliser un botnet comme dit Cyril.
Si on ne filtre pas sur l’IP on peut mettre une limite supérieure; et
ajouter un
CAPTCHA au bout d’un certain nombre de tentatives comme indiqué dans
l’article.
Le 9 janv. 09 à 11:51, Jean-Philippe M. a écrit :
Si on ne filtre pas sur l’IP on peut mettre une limite supérieure;
et ajouter un
CAPTCHA au bout d’un certain nombre de tentatives comme indiqué dans
l’article.
Nicolas C.
Fernando P. wrote:
délai à 2 secondes) mais ça restera toujours possible.
Augmenter le délai, oui mais il faut faudra fixer une limite supérieure,
parce que sinon, il va y avoir une attaque très simple à mettre en
place: un robot qui rempli des mdp bidons simplement pour faire
augmenter les timers sur des milliers de compte, de cette manière quand
l’utilisateur légitime va vouloir se connecter il va se faire jeter et
devra attendre 10 minutes.
Sauf si tu limites le temps de connections à l’IP. Par contre à coup de
botnet, la protection n’existe plus.
–
Cyril M.
This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.
Sponsor our Newsletter | Privacy Policy | Terms of Service | Remote Ruby Jobs