Cómo implementar un límite de "intentos de acceso"

[dec]

Hola,

Estoy haciendo pruebas, no me quiero ilusionar, pero, ¡parece que podría valer!

[roman]

Mmmm.

Se me ocurre que podemos amaestrar un perro y hacer que se comporte mordiendo sólo tres veces. Pero, podemos amaestrar más de un perro ¿no?



// Saludos

[dec]

Hola,

Yo ahora mismo estoy probando, y, con alguna que otra "dificultad inesperada" parece que podría valer, ¿por qué dices ahora esto último? ¿Has averiguado algo?

[roman]

Pues que a final de cuentas, tienes razón. A usar la base coño

Es cierto, con el mecanismo que propongo, el perro tiene que preservar la sesión para siquiera poder intentar el login. Pero ¿y eso qué? En cuanto reciba el ok o not ok de la autenticación, el condenado cánido cambia la sesión. Ya es otro perro y vueve a intentar, una y otra vez. Mientras no se amarre la IP (debo repetirme esto cien veces), no tiene ningún caso.

// Saludos

[dec]

Hola,

¡Pero cómo que no! ¡¡Si acabas de convencerme de lo contrario!!

Lo estoy ahora mismo probando Román, y, parece que funciona... Este es el código que de momento está ejecutándose al "entrar" al formulario:

Código PHP:

  public function AssertAccessRetries(){
    global $gbInput;
    if(isset($_SESSION[GBUSER_SESSION_ACCESS_RETRIES])){
      if($_SESSION[GBUSER_SESSION_ACCESS_RETRIES] 
       >= GBUSER_MAX_ACCESS_RETRIES_NUM){
         return new GbError(array(
           ra('Maximum user access retries detected.'),
           ra('Please, close your session and try again.')
         ));
      }
    }else{
      if($gbInput->IsHttpGetRequest()){
        $_SESSION[GBUSER_SESSION_ACCESS_RETRIES] = 0;
      }
    }
  } 


Y, este otro, se ejecutaría sólo cuando se enviase el formulario:

Código PHP:

  if(!isset($_SESSION[GBUSER_SESSION_ACCESS_RETRIES])){
    return new GbError(ra('Invalid user session. Please, try again.'));
  }else{
    $_SESSION[GBUSER_SESSION_ACCESS_RETRIES]++;
  } 


El primero me parece más curioso que el segundo: fíjate que si no existe la variable de sesión, no la establece sin más: sólo lo hace si la petición es HTTP GET. Como pulgoso manda el formulario vía HTTP POST... se va a encontrar (y de hecho se encuentra) con el segundo código...

Ya digo, el asunto parece funcionar, aunque, no dudo de que pudiera "complicarse" lo que quisiese, guardando IPs, fechas, etc. Sin embargo, creo que podría valer tal cual, sin tantas complicaciones, pues, los problemas no los tendría el usuario normal y corriente, sino los caniches "roba contraseñas"... y de eso se trata, ¿no?

¡¡¡Ahora vas a decirme que no!!!

Lo que hay que hacer es pruebas y más pruebas... suponiendo varias posibilidades, cuantas más mejor, y ver si el invento aguanta o qué.

[roman]

No sirve.

A ver, tú mismo dijiste desde el principio, que si el usuario accede como gente bien desde un navegador, sólo puede hacer tres intentos y no podrá volver hasta que no cierre su sesión. Ahora el perro hace lo mismo: manda la cookie de sesión (que lee en el primer acceso al formulario) y queda como perro bueno y tu script intenta la autenticación. Ni siquiera vuelve a intentarlo, simplemente cambia -ahora sí- la sesión e intenta de nuevo, bien portado, y es como si fuera la primera vez.

Tiene que amarrarse la IP.

// Saludos

[dec]

Hola,

Bueno. Mientras hacía las pruebas, algunas mejoras he añadido, de todas formas. Y sigo haciendo pruebas... porque chico, ¡ahora parece que sí que sirve! Estoy intentándome poner en la piel del pitbull, a ver qué tendría que hacer, según tú dices... Estoy aquí con Snoopy y ya no puede enviar, directamente, el formulario, eso está claro. Se me había saltado antes comprobar si se enviaba el formulario mediante HTTP POST, esto ahora se comprueba. De modo que no puede hacer una petición HTTP GET, porque, aun con datos buenos, no funcionaría.

Ahora tú dices que podría hacer primero una petición, y luego otra, manteniendo la sesión, enviando la cookie correspondiente, pero, si lo hace así, ¿no estaríamos consiguendo lo que queremos? Tengo un lío de espanto, ahora mismo. De todas formas, lo siento sólo por ti, pues, como digo, entre pitos y flautas he hecho algunos cambios y mejoras que ya no me las quita nadie. Y sigo probando a ver...