Qual é o caminho certo para bloquear a força bruta da autenticação básica HTTP?

1

Aqui está o meu pensamento,

Defina um limite como 30 vezes em um minuto e, em seguida, bloqueie esse IP por alguns minutos.

Mas se o invasor forjar o endereço IP de origem, isso poderá bloquear o usuário legítimo imediatamente.

E estou confuso agora.

    
por daisy 12.10.2012 / 07:52

1 resposta

4

uma maneira comum de bloquear forças brute em todos os tipos de serviços, incluindo a autenticação básica http, é fail2ban . Bots não podem falsificar um endereço IP de origem para uma conexão TCP completa (no seu caso, uma solicitação HTTP), você não precisa se preocupar com isso. (veja Os endereços IP são "triviais para forjar"? )

    
por 12.10.2012 / 08:12