Wikiに実装していた色パスワードが総当たり攻撃で破られたので,どう対応すべきかあれこれ考えたのだが,結局連投規制ぐらいしか思いつかなかった.

同一IPから色パスワード間違いの投稿が連続した場合は,そのIPからはしばらく投稿禁止にしてやる.これによって,総当たりをやろうとしても回数が制限されるため,投稿に成功できずに終わるんじゃなかろうか. 運が良い(悪い)と,偶然パスワードが的中して投稿できてしまうが,それは仕方がない.

具体的には,2回連続で色パスワードを間違えた場合は,以下のように色パスワード表示欄に「連投規制中 1分待って」と表示されて,投稿できない状態になる.

改めて考えると,そもそもこういうパスワードを要求するシステムでは,連投規制を併用するのが当たり前のような気がしてきた.

う〜む,俺がうかつだったということか.ヤレヤレ...

kamolandをフォローしましょう


© 2019 KMIソフトウェア