witek wrote:
> On 3/1/2011 6:06 PM, witrak() wrote:
>> witek wrote:
>>> On 3/1/2011 9:00 AM, witrak() wrote:
>>>> witek wrote:
...
>>>>>> wypełnienie numerami kont przestrzeni numerów jest na początku
>>>>>> bardzo niskie (w najlepszym razie parę procent) - w pratyce
>>>>>> oznacza, że trzeba wystukać tysiące jeśli nie dziesiątki
>>>>>> tysięcy
>>>>>> numerków, żeby trafić parę kont.
>>>>>
>>>>> no
>>>>> parę sekund.
>>>>>
>>>>
>>>> no
>>>> na hamerykańskich filmach
>>>>
>>>> zejdź na ziemię
>>>
>>> no właśnie zejdź na ziemie.
>>> sądzisz, że pekao nie jest w stanie obsłużyć kilkudziesieciu
>>> tysiecy zapytań jednocześnie?
>>> prostym skryptem ci to jestem w stanie zrobić.
>>>
>> Policz. Kto stawiałby tak nadmiarowy serwer autentykacji ??? :))))
>>
>>
>
> Chyba wszystkie banki.
> Bo kilkadziesiąt tysięcy na liczbe użytkowników to w zasadzie
> niewielki procent.
> Po za tym nie musi obsłużyć wszystkich na raz. A kilka tysięcy
> obsługuje na pewno.

Pleciesz. Powiedziałeś "parę sekund" (max. 2-3 ?) na moje
"dziesiątki tysięcy" (min. 5-7 ?).
Będę litościwy - załóżmy, że to oznacza dwadzieścia tysięcy na
sekundę.

A teraz weźmy spory bank - powiedzmy Millennium - z liczbą kont
rzędu 700 tysięcy, i niech to będą wyłącznie klienci internetowi
(co jest bzdurą, ale co tam). Przyjmijmy, że przeciętny klient
wykonuje piętnaście operacji miesięcznie (to jest znacznie
zawyżone szacowanie, ale niech będzie) i że w związku z tym łączy
się z bankiem 15 razy: każda operacja osobno.
Ponadto przyjmijmy, że oni wszyscy robią to wyłącznie w ciągu dnia
(w ciągu 12 godzin), bo nocne marki nas nie obchodzą.

Mamy zatem średnio nieco mniej niż 250 logowań na sekundę.
Ponieważ są pory, kiedy ludzie lubią logować się do banków i
takie, które im mniej leżą, załóżmy, że bank spodziewa się
proporcji 1:10 i przyjmuje, iż będzie miewał w szczycie 2500
logowań na sekundę, a żeby mieć absolutną pewność (nasze banki
olewają klienta, ale może nie wszystkie) bierze sobie współczynnik
bezpieczeństwa równy 2.

Mamy więc summa summarum 5000 logowań na sekundę jako wartość
graniczną, na którą może być projektowany serwer logowań (serwer
aplikacyjny na pewno nie, bo koszt tam rośnie znacznie szybciej,
ale jak się klient zaloguje to zobaczy planszę "proszę czekać", a
poza tym mówimy o blokowaniu kont - serwer aplikacyjny do tego nie
jest potrzebny).

(Oczywiście dobry bank powinien mieć mechanizmy zabezpieczające i
seria prób logowania z jednego numeru IP musi wywołać alarm i
spowodować zablokowanie dostępu lub spowolnienie obsługi (typu:
kilka-kilkanaście sekund opóźnienia reakcji na kolejne POSTy lub
coś analogicznego), albo zwyczajna sygnalizacja błędnego
loginu/hasła na każdą próbę po iluś tam nieudanych. Ale pomińmy
to...)

Porównaj teraz te liczby: co najmniej 20 tys. i maks. 5 tys.
Przy najbardziej niekorzystnych dla mojej oceny szacowaniach
(najbardziej korzystnych dla Ciebie szacowaniach) "przestrzeliłeś"
kilka razy. I jeszcze się upierasz.

Jeżeli doczytałeś do tego miejsca i nie jesteś w stanie przyznać
się do tego, że rzuciłeś sobie stwierdzenie ot, tak po prostu, aby
coś napisać - to po prostu nie znasz się na tym.
Na wszelki wypadek proszę - nie odpowiadaj, bo ja już nie
zamierzam kontynuować tej idiotycznej, wynikającej tylko z Twojego
uporu i zadufania w sobie, dyskusji. Bo zwyczajnie nie mam na to
czasu - uczę takich, co chcą coś zrozumieć.
EOT

witrak()