Бложек теперь на old.mrThe.name. Следите за обновлениями.

Я думаю многие знают о такой децентрализованной системе авторизации как OpenID. И некоторые даже знают как она работает. У неё есть свои минусы и плюсы, но сейчас не о них. Сейчас я расскажу о сайтах которые поддерживают авторизацию через OpenID.
.
Что в этом может быть плохого? Ведь это же наоборот хорошо, когда пользователю не нужно постоянно вводить данные, достаточно ввести URL по которому будут запрошены его данные… А вот и оно. Сайт обращается по ссылке переданной ему. Предположительно это ссылка на OpenID пользователя. Но туда можно вставить абсолютно любой линк, и к нему всё-равно обратятся. А если это сделать 10 раз в секунду? А если с нескольких таких сайтов\сервисов?
.
Вот и получается, что если вы используете OpenID вы можете оказаться ботом, через которого пойдёт ДДоС атака на чей-то сайт. Вы от 10 запросов в секунду не умрёте, но поможете злоумышленнику убить сайт. Ведь сайтов поддерживающих OpenID много, и если с каждого взять по 10 запросов то выйдет более 10 000 запросов в секунду. При чём это далеко не предел.
.
Как от этого защититься?


.
Ну для начала нужно запретить обращаться к 1 OpenID адресу более 1 раза в минуту.
Далее, если после проверки является ли адрес OpenID адресом результат отрицательный – запрещать его перепроверять в течении часа, а лучше дня.
.
Этих двух простых советов должно хватить, что бы не стать чьим-то ботом и при этом не помешать пользователям использовать OpenID.

.

Кеи: ддос openid, openid взлом, взлом openid, ддос, дос, уязвимость openidуязвимости openidвзломать openid.

Похожие записи:

    None Found

2 комментария к “OpenID DDoS”

  1. T-Rey, ныне НяшКОО Пишет:

    ЫЫЫыыы, да ты тру хацкер )))))
    Истину глоголишь НЯЯЯшная ты мордашка ^_^

    *Под креком.. за гея не посчитайте*
    (с)~Desu^2

  2. admin Пишет:

    _^ Няшка

Оставить комменатрий: