Cómo implementar un límite de "intentos de acceso"

[roman]

Cita:

Empezado por dec

¡Pero no digas que no lo probé! Inicié este mismo hilo porque lo había probado y, para mi sorpresa, no funcionaba...

Lo que tú probaste no es lo mismo que yo propongo, ojo.

Cita:

Empezado por dec

Y no podemos darle la patada a alguien que llega por primera vez a nuestro sitio...

Claro que podemos, y lo haremos, si no llega por la puerta adecuada.

Cita:

Empezado por dec

En el caso de Gesbit existe un formulario, un "script", que, junto con la clase GbUser (y GbDb, entre otras, pero, es otra historia) se encargan de la autenticación del usuario. Pero, a todos los efectos, es como si fuera un solo "script". Creo que esto puede confundirte Román.

Al contrario, si hablo de dos scripts es sólo para facilitar la charla y no decir: el script en una petición GET y el script en una petición POST, por ejemplo

Cita:

Empezado por dec

En efecto, si hubiese que pasar por dos "script", incluso si hubiera que pasar por el mismo, dos veces, el asunto pintaría de otra forma, podríamos usar la sesión de usuario, y, en caso de no encontrarla en el segundo "script", denegar el acceso al can. Esto sería una solución ideal, acaso, pero, recuerda que el perrito rellena y envía el formulario en un mismo punto.

No es el mismo punto. Aunque uses un mismo archivo user-login.php, se trata de momentos distintos:

1. Cuando se despliega el formulario (y se establece la variable de sesión)
2. Cuando se procesa el formulario (y se checa la existencia de la variable)

Ya también te puse el ejemplo de ese caso (un sólo script)

Cita:

Empezado por dec

No ha de pasar por dos lugares

Que sí, hombre, que sí.

Esto es como el espacio-tiempo (¿recuerdas a Carl Sagan?). La puerta de tu casa hoy no es el mismo lugar que la puerta de tu casa mañana. En términos del espacio-tiempo son dos ubicaciones distintas. No es lo mismo el script en una petición GET que el script en una petición POST, son dos ubicaciones distintas en el HTTP-tiempo

Cita:

Empezado por dec

vBulletin lo implementa apoyándose en la base de datos.

// Saludos

[dec]

Hola,

Que sí, que sí, ahora lo veo un poco más claro. No sé si es que me he ofuscado en contra del uso de variables de sesión, pero, en efecto, como has explicado, se trataría de no aceptar en nuestra casa a nadie que entrara a trompicones. ¿No te limpiaste los pies en el felpudo de la entrada? Pues no entras. ¿Te los limpiaste? Deja que lo vea... vale, pasa pa'dentro.

Tiene cierta lógica y, en efecto, le encuentro sentido. Ahora, lo que me llama la atención es que sistemas populares no implementan algo así, si, como parece, es bastante sencillo... (aunque no evidente) ¿acaso habrá alguna razón que se nos escapa? Pero, sea como sea, es cierto, tengo que probarlo de nuevo teniendo todo lo que has explicado en cuenta. ¡Gracias Román!

[dec]

Hola,

Estoy haciendo pruebas, no me quiero ilusionar, pero, ¡parece que podría valer!

[roman]

Mmmm.

Se me ocurre que podemos amaestrar un perro y hacer que se comporte mordiendo sólo tres veces. Pero, podemos amaestrar más de un perro ¿no?



// Saludos

[dec]

Hola,

Yo ahora mismo estoy probando, y, con alguna que otra "dificultad inesperada" parece que podría valer, ¿por qué dices ahora esto último? ¿Has averiguado algo?

[roman]

Pues que a final de cuentas, tienes razón. A usar la base coño

Es cierto, con el mecanismo que propongo, el perro tiene que preservar la sesión para siquiera poder intentar el login. Pero ¿y eso qué? En cuanto reciba el ok o not ok de la autenticación, el condenado cánido cambia la sesión. Ya es otro perro y vueve a intentar, una y otra vez. Mientras no se amarre la IP (debo repetirme esto cien veces), no tiene ningún caso.

// Saludos

[dec]

Hola,

¡Pero cómo que no! ¡¡Si acabas de convencerme de lo contrario!!

Lo estoy ahora mismo probando Román, y, parece que funciona... Este es el código que de momento está ejecutándose al "entrar" al formulario:

Código PHP:

  public function AssertAccessRetries(){
    global $gbInput;
    if(isset($_SESSION[GBUSER_SESSION_ACCESS_RETRIES])){
      if($_SESSION[GBUSER_SESSION_ACCESS_RETRIES] 
       >= GBUSER_MAX_ACCESS_RETRIES_NUM){
         return new GbError(array(
           ra('Maximum user access retries detected.'),
           ra('Please, close your session and try again.')
         ));
      }
    }else{
      if($gbInput->IsHttpGetRequest()){
        $_SESSION[GBUSER_SESSION_ACCESS_RETRIES] = 0;
      }
    }
  } 


Y, este otro, se ejecutaría sólo cuando se enviase el formulario:

Código PHP:

  if(!isset($_SESSION[GBUSER_SESSION_ACCESS_RETRIES])){
    return new GbError(ra('Invalid user session. Please, try again.'));
  }else{
    $_SESSION[GBUSER_SESSION_ACCESS_RETRIES]++;
  } 


El primero me parece más curioso que el segundo: fíjate que si no existe la variable de sesión, no la establece sin más: sólo lo hace si la petición es HTTP GET. Como pulgoso manda el formulario vía HTTP POST... se va a encontrar (y de hecho se encuentra) con el segundo código...

Ya digo, el asunto parece funcionar, aunque, no dudo de que pudiera "complicarse" lo que quisiese, guardando IPs, fechas, etc. Sin embargo, creo que podría valer tal cual, sin tantas complicaciones, pues, los problemas no los tendría el usuario normal y corriente, sino los caniches "roba contraseñas"... y de eso se trata, ¿no?

¡¡¡Ahora vas a decirme que no!!!

Lo que hay que hacer es pruebas y más pruebas... suponiendo varias posibilidades, cuantas más mejor, y ver si el invento aguanta o qué.