Коллеги, приветствую!
Напомню тем кто забыл и сообщу тем кто не в курсе - у нас есть бесплатное решение , это маленький Soap-клиент, который в момент регистрации проверяет на совпадение введеных имени, фамилии, логина и email на совпадение, после чего по Soap обращается к публичному web-сервису и проверяет н числится ли в черном списке email, с которым юзер пытается зарегистрироваться. Если одна из проверок не пройдена регистрация не пройдет.
На сегодня в черном списке несколько миллионов email-адресов. В итоге использования модуля от наших проектов Боты "отстали", опросы показали, что "отстали" и от 90+% других проектов, в основном это сторонние проекты не на БУС, которые пользуются сервисом уже достаточно давно, в их числе и банковские системы, и страховые компании и корпоративные почтовые системы и т.д. На сегодня в общей сложности сервис обрабатывает более 5-ти млн запросов.
Существует еще одна проблема БРУТФОРСеры. В течение последнего года мы обкатывали стоп-лист для блокировки по IP-адресам. Обкатывали совместно с одним из банков и рядом компаний на их сайтах и почтовых серверах. Готовимся выложить это дополнение в обновлении к модулю. Суть работы аналогична - перед попыткой авторизации по событию модуль по Soap обращается к сервису, если IP есть в списке, то ни авторизоваться ни зарегистрироваться не удастся. Удобство сервиса в том, что если на одном из проектов IP-ник спалился на брутфоре и попал в стоп-лист, то на других проектах, которые так же пользуются сервисом с этим IP-ником невозможно будет ни авторизоваться ни зарегистрироваться до тех пор пока не истечет время блокировки, более того - попытка регистрации и/или авторизации до истечения времени время блокировки автоматически продлевается. Таким образом спалившийся брутфорсер не сможет пойти и брутфорсить другой проект, который использует сервис. Но тут есть нюансы:
1. Размещение в стоп-листе осуществляется при N-количестве ошибок авторизации (неверный огин или пароль);
2. Вносится на определенное время.
3. По истечении времени блокировки IP из списка удаляется, НО - после N-ного количества попаданий в стоп-лист IP-попадает в стоп-лист бессрочно.
В итоге хотелось бы услышать мнения:
1. На какое время заносить?
2. После скольких попаданий блочить бессрочно?
Количество неудачных попыток можно будет указать в настройках, так как для разных проектов это может иметь разное РАЗУМНОЕ значение. А вот на какое время заносить в стоп-лист и после скольких попаданий в стоп блочить бессрочно выношу на обсуждение. В процессе тестирования использовали 30-минутный стоп и бессрочный блок на 4-том попадании. Если есть иные разумные цифры предлагайте и аргументируйте! У пользователей модуля будет возможность удалить свой IP из стоп-листа, но об этом чуть позже...
Напомню тем кто забыл и сообщу тем кто не в курсе - у нас есть бесплатное решение , это маленький Soap-клиент, который в момент регистрации проверяет на совпадение введеных имени, фамилии, логина и email на совпадение, после чего по Soap обращается к публичному web-сервису и проверяет н числится ли в черном списке email, с которым юзер пытается зарегистрироваться. Если одна из проверок не пройдена регистрация не пройдет.
На сегодня в черном списке несколько миллионов email-адресов. В итоге использования модуля от наших проектов Боты "отстали", опросы показали, что "отстали" и от 90+% других проектов, в основном это сторонние проекты не на БУС, которые пользуются сервисом уже достаточно давно, в их числе и банковские системы, и страховые компании и корпоративные почтовые системы и т.д. На сегодня в общей сложности сервис обрабатывает более 5-ти млн запросов.
Существует еще одна проблема БРУТФОРСеры. В течение последнего года мы обкатывали стоп-лист для блокировки по IP-адресам. Обкатывали совместно с одним из банков и рядом компаний на их сайтах и почтовых серверах. Готовимся выложить это дополнение в обновлении к модулю. Суть работы аналогична - перед попыткой авторизации по событию модуль по Soap обращается к сервису, если IP есть в списке, то ни авторизоваться ни зарегистрироваться не удастся. Удобство сервиса в том, что если на одном из проектов IP-ник спалился на брутфоре и попал в стоп-лист, то на других проектах, которые так же пользуются сервисом с этим IP-ником невозможно будет ни авторизоваться ни зарегистрироваться до тех пор пока не истечет время блокировки, более того - попытка регистрации и/или авторизации до истечения времени время блокировки автоматически продлевается. Таким образом спалившийся брутфорсер не сможет пойти и брутфорсить другой проект, который использует сервис. Но тут есть нюансы:
1. Размещение в стоп-листе осуществляется при N-количестве ошибок авторизации (неверный огин или пароль);
2. Вносится на определенное время.
3. По истечении времени блокировки IP из списка удаляется, НО - после N-ного количества попаданий в стоп-лист IP-попадает в стоп-лист бессрочно.
В итоге хотелось бы услышать мнения:
1. На какое время заносить?
2. После скольких попаданий блочить бессрочно?
Количество неудачных попыток можно будет указать в настройках, так как для разных проектов это может иметь разное РАЗУМНОЕ значение. А вот на какое время заносить в стоп-лист и после скольких попаданий в стоп блочить бессрочно выношу на обсуждение. В процессе тестирования использовали 30-минутный стоп и бессрочный блок на 4-том попадании. Если есть иные разумные цифры предлагайте и аргументируйте! У пользователей модуля будет возможность удалить свой IP из стоп-листа, но об этом чуть позже...
Группы на сайте создаются не только сотрудниками «1С-Битрикс», но и партнерами компании. Поэтому мнения участников групп могут не совпадать с позицией компании «1С-Битрикс».
