Я как-то писал на Perl сайт с администрированием. На страничке административного входа была форма, состоящая из двух текстовых полей(логин, пароль), одного выпадающего меню (секретный цвет) и, конечно же, кнопки Submit.
Так как вход предназначен только для администратора и мне не хотелось бы чтобы кто-нибудь получил пароль доступа , я решил написать такой вариант защиты от брутфорса:

1. Если никаких параметров не передано, скрипт генерит форму.


2.
a.) Если получены параметры, то сверяем логин, пароль и цвет. Если хоть что-нибудь не совпало, то открываем текстовый файл и записываем туда 1 ( при каждой последующей неудачной попытке, просто инкерементируем число в файле). Затем сверяем число с тем, которое было указано в настройках в переменной. Если числа равны, то прога генерирует случайную строку (из 150 символов), затем записывает эту строку в файл, где хранилось число попыток и затем переименовывает сама себя, при этом изменяя права доступа на саму себя chmod 0600. Новое имя и есть ранее сгенеринная строка (которую мы записали в файл).
b.) Если всё верно, то переходим на нужную страничку, которая в свою очередь проверяет откуда были переданы параметры. Если параметры переданы не с нашего скрипта, тогда генерим ошибку. Если с нашего, то всё нормально и прога приветствует администратора.

3. Затем написал ещё один маленький скрипт ( не CGI ). Его задачей было проверить файл где мы храним кол-во неверных попыток входа.
a.) Если в файле записано не число, то сверяем время последнего изменения файла и текущее время. Если timeout ( который мы установили в фале конфигурации ) истёк, значит программа выдёргивает из этого файла новое имя нашего первого скрипта. После переименовывает наш первый скрипт в его нормальное имя и меняет права доступа.
б.) Если в файле оказалось число и timeout истёк, обнуляем число в фале где хранилось кол-во неудачных попыток. Если же timeout не истёк и в файле число, то просто завершаем работу скрипта.

Второй скрипт запускался из cron'a. Если cron не доступен, значит придётся время от времени запускать его ручками.

Ну вот, вроде всё. Но такой вариант подойдёт только для странички входа админа.
Преимущество в том, что мы имеем самоисчезающие ворота. Для взломщика самое худшее, когда, на его глазах, дверь исчезает. ;)
Недостаток - скрипт на время становится не доступен.

Удачи.

Это сообщение отредактировал(а) korob2001 - 19.5.2004, 14:11

А если использовать проверку нажата ли кнопка submit с таким-то именем. Если да то проверяет значения, если нет то выкидывает. Как думаете подойдет это?

а как пользователь узнает какое имя нужно нажать?

Нет ты не понял!

.....
<input type="submit" name="ok" value="Старт">
......


Вот и в файле идет проверка:
if(@$ok)
{
......
}
else
{
echo "Защита";
}

а лучше в name сделать типа что-то date() на минуты в md5 и будет проверка. Я думаю вы меня поняли.

Тоесть если в этот год в этот месяц и в этот день и в этот час и в эту минуты была нажата кнопка то все путем.

Промохнуться можно только тогда, когда пользоваетль нажал на кнопку в 59 секунд а попал туда в 60 секунд тоесть прошла минута.

так я тебе соченю хттп запрост так, что скрипт не отличит нажал я кнопку или это моя программа прислала запрос

А через сессию как-нить можно защититься тогда?

нет.
можно генерировать картинку или цвет или слово, запоминать её в бд, а потом проверять.