Был уверен что sleep поможет от спама запросами/отправок форм, но техподдержка hostia почему-то сказала что нет, sleep от спама не поможет, не пойму ничего.. Мы ж делаем задержку на 'x' секунд и лишь потом выполняется код = нет спама.
sleep может затруднить брутфорс подбор пароля, поскольку там плохой скрипт вынужден ждать реакции сайта, но никак не отправку спама, где скрипт/программа может кинуть запрос с формой и продолжить выполняться, асинхронно. Есть же проверенные методы защиты от спама - фейковые поля, гуглокапча и пр.
+1. Брутфорсер же не открывает страничку с тем, чтобы дождаться ответика. Он хреначит в дохрена потоков запросы. От брутфорса спасает капча.
Ну от многопоточности не спасёт и замедленный алгоритм хеширования пароля. Но всё равно, жизнь слегка затруднит. Ведь для этого и замедляют эти алгоритмы, насколько я читал. Я же не написал, что sleep полностью защитит, а именно затруднит. А так - счётчик неудачных попыток, если надо защититься.
@mkramer тут дело в другом. Когда sleep, тогда можно фигачить миллион запросов в секунду, и чуть чуть подождав, начинаешь получать сплошной поток из миллиона ответов в секунду без каких-либо задержек. А вот усложненный алгоритм хэширования требует вычислительных мощностей.
На стороне нашего сервера. А чем для стороны клиента, коим является программа брутфорса, одно от другого отличается? --- Добавлено --- Или типа нагрузив наш сервер вычислениями миллиона хешей параллельно, он его положит, но не взломает, этот расчёт?
Его можно натравить на неудачные попытки входа на сайт? Это надо каждую попытку логгировать будет? На посещаемом ресурсе, таким макаром, боюсь, fail2ban уже во второй половине дня будет жрать больше, чем вебсервер и все его окружение в сумме.
не бойся --- Добавлено --- лучше подумай о цели. если кто-то злонамеренно пытается сбрутфорсить пароли или создать неприемлемую нагрузку, он должен быть обезврежен. точка.
Надо тестить. Имхо, капча для таких целей смотрится лучше. А ты сам юзаешь fail2ban для таких целей? Долго настраивать? Прост я его особо не ковырял, он мне нужен был только для прикрывания ssh, на который китайцы ломятся как зерги. Ну..ломились, пока порт не перевесил.
Как два пальца. Потенциально его можно натравить на что угодно, только логи подавай. Для примера гугли "WordPress brute force fail2ban". А ssh я прикрываю белым списком.