Faker im Forum vorsicht!!!

**jpwfour** · 19.11.2009, 19:14

An sich ist im VMS ja schon eine Sicherung dagegen drin:

Max. Schnittstellenanfragen (Tag)
0 = Ohne Einschränkung
Nur für Anmeldungen

Auch wenn ich diese Option noch nie auf Ihre Tauglichkeit getestet habe, denke aber mal schon, dass es funzt.

Da man pro Tag ja selten mehr als 50 Anmeldungen hat, bei denen der durchschnittliche KlammUser mind. 1 sein falsches PW eingibt

, kann man den Wert ja auf 100 setzen.

Einziges Manko:
Wenn der Angreifer das direkt nach 0 Uhr macht, können sich den ganzen Tag auch keine "normalen" User mehr anmelden

(Außer man merkt es und stellt danach den Wert wieder höher usw.)

--

Man könnte aber
a) fehlgeschlagene Anmeldungen per IP in der Reload Tabelle des VMS speichern, und bei mehr als 3 Einträgen erstmal 30 Minuten keine Anmeldung mehr zulassen.

Dann müsste der Angreifer schon über massig Proxys oder ein Botnetzwerk verfügen, was wohl kaum der Fall ist.

b) Captcha verwenden, siehe:

reCaptcha bei Anmeldung zum Schutz von "EF Anfragen Attacken"

**Holstenjungs** · 19.11.2009, 19:19

Also bitte korrigier mich, wenn ich jetzt was falsches sage, aber das Script überprüft doch erst die Klammdaten, wenn alle anderen Prüfungen nach bereits vorhandenen Usernamen oder bereits vorhandener KlammID usw. negativ sind oder?
Dann müsste doch eine Fakeanmeldung nur einmal möglich sein, sprich nur eine Anfrage wird verpulvert und danach wird das Script immer vorher beendet.

**Gremlin** · 19.11.2009, 19:21

Dann müsste doch eine Fakeanmeldung nur einmal möglich sein, sprich nur eine Anfrage wird verpulvert und danach wird das Script immer vorher beendet.

Es wird ja das falsche lpw eingegeben damit der user vom EF als nicht valide erkannt wird.

**Holstenjungs** · 19.11.2009, 19:25

Ahh, das ist dann natürlich ein Problem. Das wußte ich nicht. Dann ist die Lösung mit deinem Captcha gut. Das kontrollier ich in meinen Scripten dann auch gleich mal.

**Dreamerweb** · 19.11.2009, 19:37

Hallo

Geht das Addon aus dem Downloadbereich (Login mit Captcha) nicht auch für diese Zwecke ?

Dort muss man dann ja auch bei der Anmeldung einen Code eingeben.

MfG
Dreamerweb

**Jenny** · 19.11.2009, 21:10

Sagt mal, es geht doch um die EF - Abfragen werden diese Abfragen nicht nur gestellt bei Ein- oder Auszahlungen und bei z.B da gab es mal nen Addon das den EF Kontostand anzeigte und dafür auch EF-Abfragen gefordert wurden.......

**didith1207** · 19.11.2009, 21:12

bei einer anmeldung wird wegen der verifizierung des losepw auch eine EF abfrage verbraucht

**EarlofMidnight** · 19.11.2009, 21:13

Zitat von Jenny

Sagt mal, es geht doch um die EF - Abfragen werden diese Abfragen nicht nur gestellt bei Ein- oder Auszahlungen und bei z.B da gab es mal nen Addon das den EF Kontostand anzeigte und dafür auch EF-Abfragen gefordert wurden.......

Bei einer Neuanmeldung wird auch immer eine Abfrage verbraucht da ja die KlammID inkl. des Losepasswortes überprüft wird.
Darauf zielt der "Angriff" im Moment ja auch.

Thema: Faker im Forum vorsicht!!!

Themen-Optionen

Anzeige

Hybrid-Darstellung

Ähnliche Themen

Folgende Sponsoren sind mit Vorsicht zu geniessen

faker

Faker

Vorsicht vor 340098 Bettelfaker

Vorsicht anbieter Revido.de

Berechtigungen