Para restricciones que es mejor

Lophophora · #1 (**permalink**) 20/05/2008, 23:03

Hola a todos, estoy haciendo un sistema de autenticacion donde despues de 3 intentos fallidos de autenticarse se bloquea la pagina por media hora.

tengo las siguientes dudas,

para guardar el numero de intentos que es mejor, ¿mandar el numero de intentos dentro de la misma forma usando un campo oculto mediante post y que se valla incrementando o crear una session con el numero de intentos que tambien se valla incrementando?

Si ya se Excedio el numero de intentos lo que tengo pensado es guardar un cookie con 30 minutos de caducidad, que opinan, ¿hay alguna opcion mejor?

Saludos y gracias

lophophora

pateketrueke · #2 (**permalink**) 21/05/2008, 00:40

siempre es mejor usar BD para almacenar estos datos... piensa ¿que pasaria si el usuario borra las cookies?

tambien recuerda que con una extension tipo Wevdeveloper de Firefox, podemos manipular incluso datos dentro de una FORM.... vaya, los values....

Lophophora · #3 (**permalink**) 21/05/2008, 10:47

El problema por ejemplo de usar una base de datos es que la informacion que obtengo del cliente es su IP, por consiguiente si bloqueo el IP bloquearia a todos los usuarios de una red, lo cual puede no ser bueno.

habia pensado lo mismo de las cookies, si las borra, se jode, pero de que otra manera lo puedo hacer?

saludos y gracias

Lophophora

pateketrueke · #4 (**permalink**) 21/05/2008, 11:41

aunke me parece ke lo estamos pensando mal....

pienso ke si yo (usuario: Juan12) intento accesar sin la contraseña correcta, se blokee simplemente el acceso al usuario Juan12 y NO a su IP, menos una cookie.... vaya, pero si es un Bot que anda tratando con varios nombres ahi si conviene blokear el IP... pero weno... eso pienso yo, ¿como le harian???

GatorV · #5 (**permalink**) 21/05/2008, 11:42

Hola Lophora,

No tendrías ese problema que mencionas ya que si guardas IP Y usuario, entonces no tendrías el problema que mencionas.

El inconveniente de la cookie ya te lo mencionaron, si vacían las cookies del navegador se brincan tu sistema.

Saludos.

Lophophora · #6 (**permalink**) 21/05/2008, 13:09

Hola

muchas gracias por contestar, aun me queda una duda,, que tal si el usuario que estan ingresando es incorrecto, entonces en la base de datos guardaria un usuario que no existe.

aun asi no se bloquearia la pagina como tal sino que se bloquearia en cualquier intento con el usuario que se ha bloqueado, osea si probe 3 veces con el usuario "pitufo" entonces se bloquea el acceso al usuario pitufo, pero puedo intentar con el usuario "popeye". el caso es que se bloquee la pagina y no pueda ni siquiera ingresar al formulario de autenticacion.

existe algun otro dato unico de cada pc que se pueda obtener aparte del ip algo asi como la mac para en este caso decir si tiene "si tiene esta mac le imprimo la pagina de error" si no le imprimo el formulario.

me explico?

muchas gracias nuevamente

lophophora

pateketrueke · #7 (**permalink**) 21/05/2008, 15:55

yo digo que blokees solo, y primero... SI EXISTE en la base de datos... sino, pues claro... puede ser un error, y hay que darle chance... pero una ves que se equivoque las 3 veces, con el mismo usuario... la misma IP y BROWSER, ahora si... lo congelas!!!

bLEx · #8 (**permalink**) 21/05/2008, 16:52

Mmm y que pasaria si yo por ejemplo intento loguearme 3 veces con el nick de Lophophora de puro maldadoso?, igual es un poco mas minucioso :P, pero bueno la idea es que entre dudas y problemas cada vez llegues a una solucion mas optima...