|
|
本帖最后由 不点 于 2013-6-5 16:00 编辑
a8181811 发表于 2013-6-5 08:23 
DZ默认的验证码早被发帖机攻破了。再说加上验证码很影响正常会员的体验。
攻防是无止境的。道高一尺,魔高一丈。但是,安全总比不安全好。为什么你的门要上锁?既然世界上有小偷,而且没有一个万能的锁可以阻止任何小偷进入,那么为什么人们还是要上锁呢?而且只是用普通的锁就可以了,为什么?因为实践中不需要太复杂的锁。
无线路由器的 WPS 漏洞补上之后,再用 PIN 的方法就无效了。目前只剩下抓包跑字典的方法了,可谓困难。将来很可能连抓包也要设置障碍,如果你连抓包都不顺利,看你还怎么破解?这样,用户只要设置一个足够长的密码,安全性就高了。因为字典攻击,成功概率很低。
在攻防当中,攻的难度高,防的难度低。防守方只要稍微改变一些算法,攻击方就得费很大的牛劲去破解。
你家的门被小偷撬了,钱财丢失了。你是不是从此以后都不再锁门了呢?既然锁不管用,你为什么还要锁它呢?
更可能的情况是,你被盗一次,下次就换成一个更难撬的锁。甚至你还可能要反击,安装摄像头,直接记录偷窃者的行踪。或者设置自动报警装置。或者你给居委会提建议,看好小区大门,记录可疑人员的出入。防守的水平就提高了一个档次。这样你不但防住了你家被盗,也帮助了其他家庭,减少被盗的可能。
至于说验证码影响正常会员,这个我已经说得很清楚:验证码不是验证普通帖子的,而是验证攻击者的,验证通不过者要被彻底清理。没有攻击特征的普通会员,不会进入验证页面。只要攻击者符合事先设定的条件和特征,就对他进行验证。条件也随着攻击方式的改变而改变,这条件可以由管理员来设定和改变。即便攻击者是人,验证他的时候,总让他提供手机号,这对他来说也是一件不爽的事情。他无法用同一手机号来验证多个账户,因为系统拒绝他这么做。如果你没有攻击者的特征,系统不会要求你用手机号进行验证,不会询问你的手机号。而对于攻击者(有攻击特征的用户),要求他们不得使用相同的手机号来进行验证。
防守肯定有大量有趣的工作可以做,除非你根本不想做。只要稍微改变一下防守的逻辑,攻击者就很难受的,他就得猜测你的防守逻辑,然后得费劲去破解你,多长时间能破解,也很难说。即使他好不容易破解了,你的防守逻辑马上又变了,他的攻击就又要费劲折腾了。
|
|
IP卡
狗仔卡
发表于 2013-5-6 09:13:46
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主
发表于 2013-5-6 09:32:52
