ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Веб-уязвимости
   
 
 
Опции темы Поиск в этой теме Опции просмотра

Защита формы логина — как делаю я
  #1  
Старый Сегодня, 04:20
Vitak-01
Новичок
Регистрация: 09.10.2012
Сообщений: 6
С нами: 7153526

Репутация: 0
По умолчанию Защита формы логина — как делаю я

Короче, поставил себе задачу не допускать простых дырок в форме авторизации. Просто открыть форму с логином и паролем – полдела, дальше надо надежно закрыть заднюю дверь.

Первое, что всегда проверяю — обязательный HTTPS. Без него даже самый крутой пароль передается в чистом виде и ловится на раз. Если на сервере ещё нет нормального сертификата — это прямо красный флаг.

Дальше смотрю на защиту от перебора. Лимиты на попытки входа — базовая вещь, бан IP на час-два после 5-10 неудачных попыток обычно работает. Кто-то вешает капчу, но мне этот вариант кажется раздражающим для честных пользователей.

Самая частая прокладка — ещё и защита от CSRF с токенами. Без них форму легко слать посторонние скрипты. Проверял, что токен обновляется для каждой сессии и случайный.

Ну и по паролям — не храню их в базе просто так, всегда хеш с современной солью, ну и если движок старый — меняю метод хранения сразу. Gost, bcrypt или Argon2 — стоит выбирать, чтобы не выбрать устаревший md5/smd5.

Много нюансов с самими ошибками — не стоит показывать, что сломался именно пароль или логин, лучше одно общее сообщение "Неверные данные". Это сбивает с толку атакующих.

Как у вас с практикой обхода таких защит? Кто-то заморачивался с мультифактором или дополнительными капчами?
 
Ответить с цитированием
 



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.