Bom ... guardar IP é uma técnica razoavelmente eficiente.Quanto ao IP, ele pode ser alterado.cara, muito boa essa sua de renomear o pc... acho meio difícil alguem resolver descobrir os nomes de minhas sessões (já que naum estão em arquivos.inc... rs...)... mas d boa...
esse do Request.ServerVariables("HTTP_REFERER") eu uso em todos meus forms, dando o endereço da página q posta... tipo q dá uma ajudinha com os filtros e talz...
concordo com a inclusão de IP´s e datas no banco... é algo que deveria se tornar obrigatório!!!!!! rs... ponha o IP no seu banco!!!!
porém, se o cara tiver mesmo afim de te zoar, e ele jah tiver o mapa da mina, ele pode utilizar um dakeles servicinhos de anonymous q tem (pelo menos tinha) pela net e "mascarar" seu ip... rs... aí ferrô... rs... mas acho difícil existir tanta paciencia em um só ser....
cara, temos q difundir estas infos.. acho realmente importante tudo q foi dito aki, e realmente acho q falta qualificação e profissionalismo na NET.. tipo q tem gente q vai ver o tópico pendurado.. tah lah... SEGURANÇA NA INTERNET... e o carinha nem passa perto...
SQL Injection
Session
BD seguros
Senhas
URLs seguras
Includes seguros
por favor, se informem e divulguem!!!!
flws...
Meu modem ADSL, sempre quando eu desligo e ligo ele, o IP muda.
E se o cara estiver em uma LanHouse? Irá gravar o IP de lá, e isso nada impede de o cara fazer sacanagem.
Não sei se existe IP fixo, mas o meu modem ADSL sempre muda o IP quando reiniciado.
O modem de vocês faz isso?
E outra:
Você pode criptografar os dados que colocar na SESSION, e melhor, utilizar a criptografia HASH, que não pode ser descriptografada.
Gostaria de saber uma coisa: Qual a diferença entre COOKIE e SESSION?
T+
Talvez nao para bloquear, mas para medidas mais pesadas, é facil contactar o provedor dono do IP e descobrir de quem veio a requisição no momento... ou seja, vc tem como rastrear o cara.
Claro que isso fica mto inviavel se vc for pensar em lan house, e acesso anonimo via proxy, porem vc tem que pensar da seguinte forma: Nunca seu site vai estar 100% seguro, todas essas medidas que citaram nesse topico e muitas outras adotadas, servem apenas para minimizar e tornar o seu site menos sujeito a ataques.
O ideal é sempre adotar uma postura que vise atingir o caso mais comum. Muitos IPS dinamicos existem, então o simples fato de vc "bloquear por IP" pode nao ser a melhor alternativa.
----
Vamos a segunda parte agora.
Criptografia é sempre bem vista quando o assunto é segurança.
Mas tem que ter o uso correto. Veja bem, nem sempre vc pode utilizar um algoritmo nao-reversivel para criptografar, pois precisa recuperar informações da session, como por exemplo o nome do usuario. Tem que se analisar o caso para verificar qual tipo de criptografia deve-se usar.
No caso de uma criptografia assimetrica/simetrica, o segredo está na criação e na onde estará armazenada as chaves.
Olha só, vc tem que adotar uma ideia de segurança por obscuridade. De fato nao se pode negar que existe a chave, mas ninguem deve saber onde ela está. Assim vc dificulta a ação do invasor.
Cookies e sessions são formas de armazenar informações e manter estados entre paginas / aplicações.
A diferenca base é que sessions são armazenadas no servidor (em memoria, processo ou bd caso .net) e cookies são armazenados no cliente.
Como sempre vc tem que pesar a sua informação e ver o que serve melhor pra ela. Imagina que o usuario X desabilitou cookies pelo navegador .. devemos entao usar session pra tudo???
De fato, não. A ideia é evitar o uso de sessions, pois elas sobrecarregam o servidor. Imagina que vc tenha cerca de 20 sessions carregadas durante uma sessão de um usuario. Se 100 usuarios entrarem ao mesmo tempo no site, vc agora tem 20.000 variaveis de sessão. É mto facil haver sobrecarga se isso não for devidamente tratado.
Abraços