Вопрос безопасности

[HelpeR]

Всем здравствуйте!
Интересует следующий вопрос. Как во многих сайтах имеется кнопка для проверки свободности логина. Может ли злоумышленник воспользоваться этим. Т.е. ведь в js коде имеется прямая ссылка на php страницу, к примеру /login.php?value=HelpeR Единственное, что приходит в голову это пустить по циклу вызов этого скрипта, что бы сервак повиснул.

[Octane]

После нескольких попыток обычно капчу показывают для продолжения.

[HelpeR]

т.е. в php нужно ставить частоту для получения запросов?

[HelpeR]

конечно же связывать с ip

[HelpeR]

и еще вопрос.
на сайте xmlhttprequest.ru написано

Цитата:

У браузера есть лимит: не более 2 одновременных соединений с одним доменом-портом. Т.е, если два соединения уже висят (и отвиснут по таймауту), то третье открыто не будет, пока одно из них не умрет. Надеюсь, Вы с такой проблемой не столкнетесь. Ее можно обойти использованием кросс-доменных XmlHttpRequest.

Т.е. если два запроса уже висят на login.php то третий будет ждать пока один из них не получит ответ или пройдет вермя? Как xhr может быть кросс-доменным и как обойти эту ситуацию можно привести пример, пусть просто на словах.
Заранее спасибо!

[PeaceCoder]

Сообщение от HelpeR

Единственное, что приходит в голову это пустить по циклу вызов этого скрипта, что бы сервак повиснул.

Таким образом можно не ломать голову а пустить цикл с запросами просто сайта.
Вот если вопрос стоит о переборе логинов то да, надо делать так как написано выше через капчу..

[B@rmaley.e><e]

Сообщение от HelpeR

Т.е. если два запроса уже висят на login.php то третий будет ждать пока один из них не получит ответ или пройдет вермя?

При DDoS'е никакие XHR'ы в рассчет не берутся.

[HelpeR]

B@rmaley.e><e, нет вопрос лимита XHR запросов уже не относится к первому. Это уже второй вопрос был. Мне интересно, как можно обойти этот момент, когда у тебя висят два XHR запроса.

[DMH]

Одному пользователю - один активный xhr. А чтобы не висело больше одного запроса, ставить блокировку на создание нового xhr, пока не отработает предыдущий. Иначе если на кнопку быстро потыкать, то висеть в очереди будет туча ненужных пользователю запросов.

Цитата:

У браузера есть лимит: не более 2 одновременных соединений с одним доменом-портом.

Это при условии, что запросы идут на другой домен (не на тот, с которого загрузился сайт), иначе возможен только 1 xhr (пользователям FF можно не беспокоиться, там таких ограничений нет).

[HelpeR]

Цитата:

Это при условии, что запросы идут на другой домен

ведь XHR может отправлять запросы на свой домен. С домена domain.com нельзя отправить XHR запрос на domain2com