Ben bir sabun sunucu / istemci etkileşimi yoluyla uç açık bir web uygulaması uygulanması duyuyorum. Web sitesi https üzerinden çalışıyor ve kimlik doğrulama LDAP tarafından sağlanmaktadır.

Ben bir çerez olmadan tüm kullanıcıları itmek şimdi olduğu gibi, giriş sayfasına başvuru için 'userHash' diyoruz. Giriş sayfası, bir kullanıcı adı kabul geçmek ve kontrolleri doğrulamak için ldap. Bu doğrular Eğer benim oturumda kullanıcı adı, kullanıcı ip adresi, ve bir zaman damgası saklayın.

Son olarak ben bir çerez ve aktif kalma karma bilgisi oluşturmak:

SESSION['userHash'] = sha1($username.$userip.$timestamp); 
cookie['userHash'] = sha1($username.$userip.$timestamp); 

Herhangi bir sonraki istek üzerine bu şekilde ben kullanıcı parça oturumuna eşleşen değeri ile çerez userHash doğrulamak ['userHash']

Bu kurulum, güvenli mi?

Ayrıca, ben kaba kuvvet saldırılarına karşı önlemek istiyorsanız ve başarısız girişimleri giriş için basit bir DB tablo uygulamak için gidiyordu. Şu anda sahip düşünüyorum:

id | username | timestamp | ipaddress | count 

bir tablo olarak. Bu iyi bir yaklaşım mı yoksa daha iyi bir yolu var mı? Ben 3 her 24 saat başarısız girişimlerini sınırlamak için ise, o zaman bir saldırgan aynı Ip den her kullanıcı adını 3 kez denemek yeteneğine sahip olduğunu bu tablo ile örneğin bkz. (Bir yan not: Bu uygulama bir alt ağda olması ve dolayısıyla bu yüzden ben bir IP adresi tabanlı engellemek ne zaman dikkatli olmak gerekir bana aynı IP adresinden gelen birden fazla giriş gösterebilir potansiyel okullardaki bilgisayar laboratuvarlarının kullanılmak üzere beklenmektedir. )

Http kimlik doğrulaması için "denyhosts" gibi bir şey varsa, diğer taraftan, ben merak var?