Недавно у меня были проблемы с моей учетной записью электронной почты (gmx.net).У меня около 30 неудачных попыток входа в систему в день.Но это не тема вопроса (я уже сменил пароль).
Это заставило меня задуматься.Это в автоматической атаке?И если так, как это делается?Я взглянул на HTML-код страницы и обнаружил, что довольно просто скопировать исходный код элемента формы и выполнить попытку входа через локальный html-файл (скопировать и вставить, новый HTML-файл, открытьв браузере введите свои учетные данные, отправьте).Это означает, что автоматизировать такие вещи очень просто (напишите небольшой скрипт, который создает сообщения с различными значениями -> атака грубой силы).Я собирался написать электронное письмо на размещенную почту, когда узнал, что точно такой же процесс можно выполнить на facebook.com ....
У меня сложилось впечатление, что, поскольку у нас есть все этиВ новых модных веб-фреймворках, таких как Rails, Django и т. д., у нас есть автоматическая защита от таких атак (например, защита от подделки, в которую входит Rails http://ruby.about.com/od/security/a/forgeryprotect.htm)
Мой вопрос здесь:
Есть ли какая-либо вменяемая причина, чтобы разрешить попытку входа с другого сервера?
Не указывайте мне "API", большинство API для веб-приложений требуют авторизации вручную перед авторизацией.
Iзнаю, что есть еще много способов грубой силы атаковать любой логин на сайте (использовать фреймворк, который контролирует браузер и т. д.) и есть много способов защиты (IP-запрет и т. д.), но не следует отключать удаленный вход в системуиз первых механизмов безопасности вы бы взяли?