Avvio di un nuovo progetto e necessità di idee per la gestione degli attacchi di Phishing / Brute Force e accesso alla registrazione [chiuso]

Dietro un buon design e una buona difesa si trova

Conoscenza profonda profonda

Quindi, prima di tutto, ti suggerisco di leggere questi link perché non sei esposto a attacchi di phishing o brute force e altri tipi di attacchi come l'avvelenamento da cookie, CSRF, lo spoofing dei moduli, l'iniezione HTTP, ecc. per te.

link link

Per la registrazione, ti consiglio di utilizzare l'autenticazione basata su cookie e di prendere in considerazione questi punti per i cookie:

1. Crea solo Http
2. Crea i cookie di sessione sessione (beh, allora il nome lo dice)
3. Cerca di rendere i tuoi cookie sicuri, se possibile (SSL o TLS)
4. Cripta il valore del tuo cookie
5. Rinomina di tanto in tanto il tuo cookie poiché il nome di un cookie è importante anche per

Uno dei modelli più comuni per prevenire attacchi di forza bruta consiste nel ritardare il processo in base agli intervalli di accesso vietati , ovvero, se un utente non riesce ad accedere per dire n volte, evitare altre richieste di accesso per dire 15 minuti.

Un altro pattern consiste nel bloccare l'utente su n volte in caso di tentativi di accesso non riusciti e creare un meccanismo di sblocco che coinvolga la partecipazione umana in qualche modo.