За последние 24 часа нас посетили 20042 программиста и 1081 робот. Сейчас ищут 709 программистов ...

Функция sleep не защищает от спама?

Тема в разделе "PHP для новичков", создана пользователем schmidt, 18 июн 2017.

  1. schmidt

    schmidt Активный пользователь

    С нами с:
    9 сен 2012
    Сообщения:
    13
    Симпатии:
    1
    Был уверен что sleep поможет от спама запросами/отправок форм, но техподдержка hostia почему-то сказала что нет, sleep от спама не поможет, не пойму ничего.. Мы ж делаем задержку на 'x' секунд и лишь потом выполняется код = нет спама.
     
  2. [vs]

    [vs] Суперстар
    Команда форума Модератор

    С нами с:
    27 сен 2007
    Сообщения:
    10.553
    Симпатии:
    631
    http://phpfaq.ru/na_tanke
    Ты просто получаешь стопку запущенных копий скрипта
     
  3. artoodetoo

    artoodetoo Суперстар
    Команда форума Модератор

    С нами с:
    11 июн 2010
    Сообщения:
    11.068
    Симпатии:
    1.231
    Адрес:
    там-сям
    во первых, не путай спам с флудом…
     
  4. mkramer

    mkramer Суперстар
    Команда форума Модератор

    С нами с:
    20 июн 2012
    Сообщения:
    8.548
    Симпатии:
    1.754
    sleep может затруднить брутфорс подбор пароля, поскольку там плохой скрипт вынужден ждать реакции сайта, но никак не отправку спама, где скрипт/программа может кинуть запрос с формой и продолжить выполняться, асинхронно. Есть же проверенные методы защиты от спама - фейковые поля, гуглокапча и пр.
     
  5. [vs]

    [vs] Суперстар
    Команда форума Модератор

    С нами с:
    27 сен 2007
    Сообщения:
    10.553
    Симпатии:
    631
    @mkramer не поможет от брутфорса, когда это пхп. Прикинь процесс просто.
     
  6. Fell-x27

    Fell-x27 Суперстар
    Команда форума Модератор

    С нами с:
    25 июл 2013
    Сообщения:
    12.155
    Симпатии:
    1.769
    Адрес:
    :сердА
    +1. Брутфорсер же не открывает страничку с тем, чтобы дождаться ответика. Он хреначит в дохрена потоков запросы.

    От брутфорса спасает капча.
     
  7. mkramer

    mkramer Суперстар
    Команда форума Модератор

    С нами с:
    20 июн 2012
    Сообщения:
    8.548
    Симпатии:
    1.754
    Ну от многопоточности не спасёт и замедленный алгоритм хеширования пароля. Но всё равно, жизнь слегка затруднит. Ведь для этого и замедляют эти алгоритмы, насколько я читал. Я же не написал, что sleep полностью защитит, а именно затруднит. А так - счётчик неудачных попыток, если надо защититься.
     
  8. [vs]

    [vs] Суперстар
    Команда форума Модератор

    С нами с:
    27 сен 2007
    Сообщения:
    10.553
    Симпатии:
    631
    @mkramer тут дело в другом. Когда sleep, тогда можно фигачить миллион запросов в секунду, и чуть чуть подождав, начинаешь получать сплошной поток из миллиона ответов в секунду без каких-либо задержек. А вот усложненный алгоритм хэширования требует вычислительных мощностей.
     
  9. mkramer

    mkramer Суперстар
    Команда форума Модератор

    С нами с:
    20 июн 2012
    Сообщения:
    8.548
    Симпатии:
    1.754
    На стороне нашего сервера. А чем для стороны клиента, коим является программа брутфорса, одно от другого отличается?
    --- Добавлено ---
    Или типа нагрузив наш сервер вычислениями миллиона хешей параллельно, он его положит, но не взломает, этот расчёт?
     
  10. [vs]

    [vs] Суперстар
    Команда форума Модератор

    С нами с:
    27 сен 2007
    Сообщения:
    10.553
    Симпатии:
    631
    @mkramer тем что вычисляя параллельно, наш сервер скорее ляжет, чем простаивая в idle))))
     
  11. artoodetoo

    artoodetoo Суперстар
    Команда форума Модератор

    С нами с:
    11 июн 2010
    Сообщения:
    11.068
    Симпатии:
    1.231
    Адрес:
    там-сям
    fail to ban выручит
     
  12. Fell-x27

    Fell-x27 Суперстар
    Команда форума Модератор

    С нами с:
    25 июл 2013
    Сообщения:
    12.155
    Симпатии:
    1.769
    Адрес:
    :сердА
    Его можно натравить на неудачные попытки входа на сайт? Это надо каждую попытку логгировать будет? На посещаемом ресурсе, таким макаром, боюсь, fail2ban уже во второй половине дня будет жрать больше, чем вебсервер и все его окружение в сумме.
     
  13. artoodetoo

    artoodetoo Суперстар
    Команда форума Модератор

    С нами с:
    11 июн 2010
    Сообщения:
    11.068
    Симпатии:
    1.231
    Адрес:
    там-сям
    не бойся
    --- Добавлено ---
    лучше подумай о цели. если кто-то злонамеренно пытается сбрутфорсить пароли или создать неприемлемую нагрузку, он должен быть обезврежен. точка.
     
  14. Fell-x27

    Fell-x27 Суперстар
    Команда форума Модератор

    С нами с:
    25 июл 2013
    Сообщения:
    12.155
    Симпатии:
    1.769
    Адрес:
    :сердА
    Надо тестить. Имхо, капча для таких целей смотрится лучше. А ты сам юзаешь fail2ban для таких целей? Долго настраивать? Прост я его особо не ковырял, он мне нужен был только для прикрывания ssh, на который китайцы ломятся как зерги. Ну..ломились, пока порт не перевесил.
     
  15. artoodetoo

    artoodetoo Суперстар
    Команда форума Модератор

    С нами с:
    11 июн 2010
    Сообщения:
    11.068
    Симпатии:
    1.231
    Адрес:
    там-сям
    Как два пальца. Потенциально его можно натравить на что угодно, только логи подавай. Для примера гугли "WordPress brute force fail2ban".

    А ssh я прикрываю белым списком.