Önemli Başarısız kimlik doğrulama girişimleri oturum nedir?

2 Cevap php

Ben PHP kullanarak programlanmış bir online oyun için bir kimlik doğrulama sistemi üzerinde çalışıyorum ve güvenli olduğundan emin olmak istiyorum. Bu yardım için, ben günlüğü kullanışlı (ve iyi uygulama benim için de bir sistem günlüğü sınıf için iyi bir test) olacağını düşünüyorum. Ben web sunucunun günlüklerini kullanmak istemiyorum, ama ben başarısız kimlik doğrulama girişimleri için oturum önemli ne olacağını bilmek istiyorum.

Ben bazı seçenekler tartmışlardır ama önemli bir şey kaçırmak istemiyorum. Aşağıda şimdiye kadar kabul ettik ne bir listesidir.

  1. Hiçbir şey (belki de anlamsız değil mi?)
  2. tam sayfa URL
  3. kullanıcı adı teşebbüs
  4. ip adresi

  5. zaman / tarih

    Eğer oturum emin olmak için başka neler öneriyorsunuz?

2 Cevap

İlk olarak, aklında endişeleri ne tür?

Eğer yazılım zayıflıkları bulmak için çalışıyorsunuz?

  • Adı, tam sayfa URL, zaman / tarih

Hack endişeleniyorsunuz?

  • IP adresi, kullanıcı adı, zaman / tarih

Sadece sunucu HDD üzerinde yer yemeye çalışıyorum.

  • Adı, tam sayfa URL, IP adresi, zaman / tarih

:)

"Ve ben bunun güvenli olduğundan emin olmak istiyorum."

Günlüğü hiçbir miktarı sistemi daha güvenli hale getirmek için gidiyor.

Senin neden başarısız girişimleri istatistikleri toplamak ve olası sorun alanları aramak için (yani, örneğin, IP adresleri veya hesapları yasağı, ya da çok kötü bir bellek ile kullanıcılara belirleyebilir) Ancak, ben tarih, zaman günlüğü tercih ederim , kullanıcı adı, IP adresi ve şifre çalıştı.

IP adresi nedeniyle DHCP, NAT'ing ve böyle düşündüğünüz kadar yararlı değil ama yine de orta yararlı olabilir.

Başarılı bir hırsızlık zaten gerçek şifre var olacak çünkü bu hiçbiri prevent (sosyal mühendislik veya keylogger)-ins kıracak.

Biz kimin saha mühendisleri, önümüzdeki birkaç saat boyunca iş yükünü almak için oturum açmış bir büyük telekom şirketi de eğlenceli bir parça olması için kullanılır.

Biz sonra LDAP onların gerçek şifre aramak ve onlara mobil bir çağrı vermek, onlara bağlanmak ve şifre yanlış almak görecekti. "Bob Affedersiniz, ama Sen, şifre olarak 'altıgen' sekizgen 'değil kullanarak gerektiğini içeri sorun giriş sahip gibi görünüyor."

Bu bizim işler bu noktada aşırı stresli değil, tabii ki, sonu 'em çıldırdı ve :-)

etiketler