23-05-2011, 09:25 PM
(23-05-2011, 05:35 PM)Viciousity a écrit : En effet, j'ai lu un article (en anglais) qui expliquait pourquoi adopter la technique de stockage des données machine (carte graphique, processeur, etc ...) plutôt que l'IP.
oui il s'agit en fait de la signature numerique de ton navigateur: c'est à dire toutes les infos que JS et capable de recolter sur ta becane: navigateur, resolution, police installées, plug in, etc...tu collecte toutes les infos et tu les stocke dans un md5 par exemple..c'est quasiment une signature unique de ton navigateur mais il faut que JS soit activé et les hacker ne passe pas par un navigateur pour le bruteforce donc c'est à mon avis pas mieux que l'ip...
(23-05-2011, 07:40 PM)Ieyasu a écrit : Je préfère bloquer le compte avec un timestamp que je rajoute sur la table de connexion, sur lequel je fais une vérification avant chaque tentative.
Quelque soit l'ip ou la machine, si un joueur tente une connexion en force sur le même compte, il se prend un ban de X secondes.
Dans le cas d'une tentative de forçage d'un couple aléatoire login / pass un captcha suffit à ralentir suffisamment le coquin pour le dissuader d'accumuler les tentatives.
Facile et rapide à mettre en place.
je n'avais pas pensé au captcha, je me suis dis qu'avec ce systeme de bloquer un compte si trop de tentative alors tu peut facilement bloquer tout les comptes du jeu...mais avec un captcha ca me semble une bonne idee
je ne pretends pas avoir autant de succes pour avoir ce genre de probleme mais qui sait, il y toujours des petits malins...je le vois bien aux nombre de tentatives de recherche de faille sur mon dédié (scan des url comme phpmyadmin, ou bien bruteforce de l'entree ssh, et pourtant mon serveur est un tout petit serveur...)