oferlaor כתב:trip,
שם משתמש קל מאוד לדעת, ולכן אם לא נכניס מנגנון BOT, אין שום סיבה בעולם שלא ניתן יהיה ליישם אפליקציה פשוטה לנסות ולפרוץ למנהלים את החשבון ב-BRUTE FORCE. אני אכן מחליף סיסמאות כל זמן נתון, אבל בכ"ז, ברגע שאין את המנגנון הזה, האתר חשוף לחלוטין לפריצה.
ולכן, הייתי מכוון את החיצים שלי לחברים בעבודה שלך שמאפסים לך את ה-COOKIES...
לגבי הגודל, היתה מחשבה רבה בנושא. ככל שהמנגנון גדול יותר, כך קל יותר לפרוץ אותו.
גם לי מדי פעם קשה לזהות את הערך הנכון, אז מנסים שוב. חוסר הודעת שגיאה נוצר גם כאן בכדי למנוע ולהקשות על מנגנון BRUTE FORCE לפרוץ לאתר.
אם אי פעם יהיה לך אתר, אני ממש, אבל ממש, מקווה שתעשה את מירב המאמצים שהוא לא יפרץ. המחיר הוא גבוה מאוד.
אני מעדיף שיהיה לך יותר קשה להיכנס, אבל שכשאתה ניכנס אני ב-100% בטוח שאתה אנושי.
...
עפר ומרטין, תודה על התגובה הזריזה.
קודם כל , שנה טובה (הייתי צריך להגיד את זה בהודעה המקורית)!
אני לא בא בטענות או בביקורת, אלא רק מתריע על משהו שמפריע לי.
החברים שלי בעבודה לא ירשו לי cookies, ולו רק בגלל שאני עובד בחברה שבה ענין האינטרנט מאוד מאוד רגיש (עסקית ובטחונית). כפועל יוצא אין cookies (זה באמת תופעת לוואי שאני לא אפרט עליה, לא אספקט "בטחוני" בפני עצמו).
אני מבין את הרצון להגן על האתר ועל המשתמשים והגיוני שתעשו הרבה מאוד בשביל זה.
האיזון בין "נוחות משתמש" לבין "בטחון המשתמש" הוא לא פשוט וטריוויאלי, וכידוע לכולנו בוטים וסקרפיטים משתכללים ונהיים מתוחכמים מיום ליום.עצם זה שתוכנה כמו jdownloader (הקרובה ללבנו ולתחום הענין שלנו) מצליחה לענות נכון על 99.9% מה-captcha שהיא מתמודדת מולם, אומר הכל.
הגנה על סיסמאות המנהלים חשובה, ואני בטוח שאתם נוקטים גם בשיטות אחרות (סיסמאות חזקות, החלפות תכופות וכו'). למרות זאת, מה שטוב ונחוץ לכם לא בהכרח רלוונטי לכל משתמש "פשוט". במקרה הגרוע בו בוט פורץ לי את הסיסמא, הוא יפרסם הודעה פעם ב-30 שניות, ואחרי 20 הודעות לכל היותר יעלו עליו.
זה לא נעים, אבל שום נזק ממשי לא נעשה.
מהדברים שלכם עולה כי הרבה פורומים בארץ ובעולם (תפוז, hwzone, avforum, tomshardware ורבים אחרים, חלקם כוללים עשרות אלפי משתמשים) שלא כוללים מנגנון כזה - "מפקירים" את הגולשים שלהם או לא נותנים הגנה מספק לאתר מהרשמת בוטים. אני מקבל את דברכם, אבל קשה לי להאמים שזה אכן המצב.
אני אומר את זה לא על סמך היכרות מקיפה עם בוטים והגנות, אלא כמשתמש רגיל שגולש להרבה פורומים, ונחשף לכל מיני שיטות אימות והגנה.