Új hozzászólás Aktív témák

• #789 Penge_4 veterán Chal #788

  Új Válasz 2013-04-18 13:29:28 #789

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Penge_4

  veterán

  válasz Chal #788 üzenetére

  Ez mondjuk jogos. Bár eddig ilyesmit csak nagyon amatőr oldalaknál csináltak. Nem véletlenül DDoS-olnak, meg még előszeretettel készítenek kamu domaineket. Mert az a legegyszerűbb.

  Na meg ha véletlenül fel is nyomnak egy oldalt (kezdjük ott, hogy a frontend általában kevés, a szerverhez is hozzá kell férniük, ahol a fájlok vannak) mondjuk admin jelszavát kitalálják, akkor általában olyan trükkökhöz folyamodnak, hogy kicsalják a userektől a jelszót, mert egyrészt szorít az idő (nem várhatják meg, amíg valaki éppen utal, valahogy rá kell bírni még azelőtt, hogy valaki rájönne és akár csak kipostolná Twitterre, hogy gebasz van, felnyomták az oldalt, senki ne csináljon semmit.

  ps: Egyébként meg ezért szoktam utálni az amúgy elvileg biztonsági célból bevezetett állandó bejelentkezést, amire sok oldal megpróbál kényszeríteni, miközben valójában hülyeség.

  A gépemhez nem nyúl senki. Aki igen, annak eltöröm a kezét, szóval nagyobb biztonságban vagyok, ha kliensoldali cookie-ban vagy Local Storage-ban vannak a belépési adataim, mintha állandóan beirkálom a jelszót. Például az ilyenek miatt is. Ha felnyomják az oldalt, egyszerűbb, ha a formot naplózzák, ahova a tényleges jelszót írja az ember, mert egy identifierrel maximum beléphetnek, amíg le nem jár a cookie szerveroldalon meghatározott ideje (bár ezt is csinálhatják gány módon, vagy tárolhatják a jelszót cookieban plain/text formátumban) minden egyes user fiókjába, de a jelszót nem tudhatják meg.

Új hozzászólás Aktív témák