[IRC-DEV] La BDD

Jesus Cea Avion jcea at argo.es
Tue Aug 12 04:28:46 CEST 2003 

Respuesta a un mensaje de hace 13 meses:

ROOT wrote:
> 
> He observado una cosa, cuando introduces la contraseña ( en el irc-hispano
> por ejemplo ) de un nick sobre nick varias veces nick te hace un kill para
> evitar abusos, pero cuando introducimos la password de un nick registrado
> sobre nick2, podemos probar tantas veces queramos ( mas bien nos permita sin
> caerte por flood ). No seria conveniente introducir algun tipo de proteccion
> para evitar probar muchas veces contraseñas sobre un mismo nick?, algo del
> tipo "Espere 15 segundos antes de volver a probar" o algo por el estilo que
> evite que alguien pueda ponerse a probar password durante horas.

En IRC-Hispano tenemos la experiencia de nodos que pasaban las BDD a los
"amiguetes", lo que permitía ataques de fuerza bruta "offline". Ante
claves seguras no tienen nada que hacer, pero la gente no entiende eso
de "clave segura". Por eso "nick2" da tanta caña e insiste tanto en que
se use "getnewpass" en vez de "setpass". De hecho la primera versión de
"nick2" ni siquiera tenía un comando "setpass", precisamente para
asegurarnos de que las claves fuesen seguras. Pero los usuarios no lo
aceptaron.. allá ellos si las claves que usan son de risa; yo no puedo
hacer milagros.

En cuanto a lo que comentas, imagínate el siguiente caso: un atacante
mete un clon por cada nodo de la red. Como no ha terminado la entrada,
el resto de nodos no lo ven y no pueden tirarlo por clones.
Consecuencia: se ponga la limitación que sea, puede "paralelizarse" en
cada nodo de la red de forma simultanea.

Otro caso peor, el atacanet hace lo mismo pero no lanza un clon por
nodo, sino infinidad de clones a través de bouncers, etc. Ya estás
jodido.

En cuanto a lo de poner una pausa entre respuestas del servidor, podría
ser algo a considerar, pero hay que meditarlo un poco. Ya existe un
control para evitar que un usuario cambie de nick con mucha
"frecuencia", limitando la aceptación del comando a X por minuto. Una
opción sería ejercer dicha limitación AUNQUE el usuario especifique una
clave incorrecta y no se active el nick.

No estoy seguro de que eso no se esté haciendo ya.

¿Opiniones?.

-- 
Jesus Cea Avion                         _/_/      _/_/_/        _/_/_/
jcea at argo.es http://www.argo.es/~jcea/ _/_/    _/_/  _/_/    _/_/  _/_/
                                      _/_/    _/_/          _/_/_/_/_/
PGP Key Available at KeyServ   _/_/  _/_/    _/_/          _/_/  _/_/
"Things are not so easy"      _/_/  _/_/    _/_/  _/_/    _/_/  _/_/
"My name is Dump, Core Dump"   _/_/_/        _/_/_/      _/_/  _/_/
"El amor es poner tu felicidad en la felicidad de otro" - Leibniz

More information about the IRC-Dev mailing list