9 июня(суббота) 2012 Москва

Телефон: +7 (495) 502-33-78
E-mail: 2012@devconf.ru

Архив 2012 года - актуальная информация тут

RedisSentry: защищаем python web-сервер от подбора пароля на примере django

Лев Максимов, 5 лет разработки сайтов на django
Доклад(30 мин)    Презентация (ppt, 986 Kb)

Несмотря на принцип «batteries included» django до сих пор (v1.4) не включает в себя стандартного модуля защиты от брут-форса. Если специально не позаботиться об этом, злоумышленнику, задавшемуся целью подобрать имена пользователей и пароли к эккаунтам на сайте, ничего не мешает это сделать.
Рассказывается чем новый модуль замечателен, как он работает, и чем он лучше по сравнению с уже существующими.
Основной алгоритм выделен в отдельный пакет, есть пример подключения к Flask.

Подробно:
Новый анти-брутфорс модуль позволяет:
– защититься от следующих типов атак: 1 IP – 1 эккаунт, 1 IP – несколько эккаунтов, несколько IP – 1 эккаунт;
– дать возможность авториоваться ранее успешно авторизовавшемуся пользователю даже если его IP временно заблокирован стараниями другого пользователя из-под его NAT/proxy;
– не допустить возможность переполнения базы данных;
– исключить DDOS страницы авторизации благодаря высокой скорости реакции;
– блокировать скрипт с фиксированным интервалом между попытками навечно.



Программа конференции