Ok, nego citao sam u novinama (juce ili prekjuce) kako je jedan Rumun iz 'dosade' razbio oko 150 americkih sigurnosnih sistema u veoma kratkom vremenskom intervalu
Siguran sam da bi isti probio moj menadzer za tri sekunde i upao u admin panel koji sam pisao 3 dana. Logicno je da se upitam dali mogu da uradim nesto vise po security pitanju. Nemam nekih 'bistrih' ideja za dalju zastitu pa ako moze neki savet nebi bilo lose
---
edit
---
U ovde sam se ocajno izrazio:
Citat:
|
Originalno napisao flash_back
Mozda da celu stvar malo i 'iskomplikujem' i da hash passa bude npr: pass+korisnicko_ime+email+datum_i_vreme_registraci je
|
---
Mislio sam da napravim neki 'sigurnosni_kod' polje i kada pravim klijenta u to polje upisem has vrednosti iz polja pass+korisnicko_ime+email+datum_i_vreme_registraci je. E sad, kada se klijent konektuje prvi put posaljem mu cookie sa hasom polja 'sigurnosni_kod'!
Na loginu kod svake sledece konekcije ako je us i pass ok neradim odmah redirect, vec zahtevam cookie za proveru sigurnosti. Ako cookie ne postoji stavim step za ubacivanje sigurnosnog koda..
I npr: kada klijent radi izmenu emaila ili passa samo osvezim zapis sa hasom od -> novi_pass+korisnicko_ime+email+datum_i_vreme_izmen e i posaljem novi sigurnosni kod na mail!
---
Poenta je da i ako se neko docepa vredosti polja us i pass i dalje nemoze da se loguje. Mana je sto ako nema cookia ispada jedan smoren korak, a svako ko barem malo istrazuje po opcijama browsera stavi da se cookes brisu prilikom zatvaranja..
Mislim da ovo ima neku logiku, al me interesuje i sta drugi misle... Ili mozda ubacim ovaj step samo ako je u pitanju admin?