Назад | Перейти на главную страницу

Как правильно заблокировать грубую силу базовой аутентификации HTTP?

Вот моя мысль,

Установите порог примерно 30 раз в минуту, затем заблокируйте этот IP на несколько минут.

Но если злоумышленник подделает исходный IP-адрес, это может немедленно заблокировать законного пользователя.

И я сейчас в замешательстве.

распространенный способ заблокировать брутфорс на всех типах служб, включая базовую аутентификацию http: fail2ban. Боты не могут подделать исходный IP-адрес для полного TCP-соединения (в вашем случае HTTP-запроса), вам не нужно об этом беспокоиться. (видеть "Легко ли подделать IP-адреса"? )