- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
为网络应用程序创建登录表单的方法有很多种,但其中大多数都存在这样或那样的缺陷:
是否有如何创建安全登录表单的示例或教程?
最佳答案
我同意卡洛斯关于缺乏“完美”安全系统的观点,不仅对于登录,而且对于任何其他组件。唯一要做的就是通过遵循最佳实践来最大程度地降低风险,但始终记住,完全安全并不存在,因此您的问题很难回答,尽管有一些很好的例子 there 没有什么是完美的,安全性是一个非常快速发展的话题。
对我来说,要解决的主要问题是:
-数据传输:用户总是要输入密码,并且必须在处理之前将其发送到您的系统,因此如果您使用一个开放的 channel 。要解决此问题,您必须使用通过加密 channel (SSL) 传输数据,没有其他方法,除非您放弃通用密码(例如使用一次性使用 token ,或将身份验证委托(delegate)给第三方,例如 Facebook connect 或 openId )。请参阅"How to Make a Secure Login Form with SSL"
-输入卫生:为了避免 XSS 和 SQL 注入(inject),请将来自客户端的任何输入视为潜在风险点,因此您必须对来自外部的任何内容进行验证 --> doc 。另一个 good practice 是永远不要在查询中直接使用输入,而是在准备好的语句或存储过程中用作绑定(bind)变量。
-密码存储:密码应始终使用单向哈希算法加密存储,因此即使有人访问您的数据库,也无法恢复原始密码。还要使用盐化、多次散列等技术...还要注意选择不弱或过时的算法(例如 MD5),随着 CPU 能力的增加,该算法很容易被暴力破解。
-基础设施:让您的机器、操作系统、框架、库始终更新,以避免错误和 0day 攻击。当今的任何系统都非常复杂,系统的安全性取决于其最薄弱的组件。
-其他需要考虑的事项:定期检查您的安全策略,看看是否需要更新任何内容、实现密码策略(过期、重复使用等)、日志访问、使用监控工具你的系统等等等等
毕竟,您仍然可以确定,如果有人有足够的时间和资源,您的系统就会崩溃。
关于security - 安全网络登录示例/教程,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6136769/
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: Sample data for IPv6? 除了 wireshark 在其网站上提供的内容之外,是否有可以下
我正在寻找可以集成到现有应用程序中并使用多拖放功能的示例或任何现成的解决方案。我在互联网上找到的大多数解决方案在将多个项目从 ListBox 等控件拖放到另一个 ListBox 时效果不佳。谁能指出我
我是 GATE Embedded 的新手,我尝试了简单的示例并得到了 NoClassDefFoundError。首先我会解释我尝试了什么 在 D:\project\gate-7.0 中下载并提取 Ga
是否有像 Eclipse 中的 SWT 示例那样的多合一 JFace 控件示例?搜索(在 stackoverflow.com 上使用谷歌搜索和搜索)对我没有帮助。 如果它是一个独立的应用程序或 ecl
我找不到任何可以清楚地解释如何通过 .net API(特别是 c#)使用谷歌计算引擎的内容。有没有人可以指点我什么? 附言我知道 API 引用 ( https://developers.google.
最近在做公司的一个项目时,客户需要我们定时获取他们矩阵系统的数据。在与客户进行对接时,提到他们的接口使用的目前不常用的BASIC 认证。天呢,它好不安全,容易被不法人监听,咋还在使用呀。但是没办法呀,
最近在做公司的一个项目时,客户需要我们定时获取他们矩阵系统的数据。在与客户进行对接时,提到他们的接口使用的目前不常用的BASIC 认证。天呢,它好不安全,容易被不法人监听,咋还在使用呀。但是没办法呀,
我正在尝试为我的应用程序设计配置文件格式并选择了 YAML。但是,这(显然)意味着我需要能够定义、解析和验证正确的 YAML 语法! 在配置文件中,必须有一个名为 widgets 的集合/序列。 .这
你能给我一个使用 pysmb 库连接到一些 samba 服务器的例子吗?我读过有类 smb.SMBConnection.SMBConnection(用户名、密码、my_name、remote_name
linux服务器默认通过22端口用ssh协议登录,这种不安全。今天想做限制,即允许部分来源ip连接服务器。 案例目标:通过iptables规则限制对linux服务器的登录。 处理方法:编
我一直在寻找任何 PostProjectAnalysisTask 工作代码示例,但没有看。 This页面指出 HipChat plugin使用这个钩子(Hook),但在我看来它仍然使用遗留的 Po
我发现了 GWT 的 CustomScrollPanel 以及如何自定义滚动条,但我找不到任何示例或如何设置它。是否有任何示例显示正在使用的自定义滚动条? 最佳答案 这是自定义 native 滚动条的
我正在尝试开发一个 Backbone Marionette 应用程序,我需要知道如何以最佳方式执行 CRUD(创建、读取、更新和销毁)操作。我找不到任何解释这一点的资源(仅适用于 Backbone)。
关闭。这个问题需要details or clarity .它目前不接受答案。 想改进这个问题?通过 editing this post 添加详细信息并澄清问题. 去年关闭。 Improve this
我需要一个提交多个单独请求的 django 表单,如果没有大量定制,我找不到如何做到这一点的示例。即,假设有一个汽车维修店使用的表格。该表格将列出商店能够进行的所有可能的维修,并且用户将选择他们想要进
我有一个 Multi-Tenancy 应用程序。然而,这个相同的应用程序有 liquibase。我需要在我的所有数据源中运行 liquibase,但是我不能使用这个 Bean。 我的应用程序.yml
我了解有关单元测试的一般思想,并已在系统中发生复杂交互的场景中使用它,但我仍然对所有这些原则结合在一起有疑问。 我们被警告不要测试框架或数据库。好的 UI 设计不适合非人工测试。 MVC 框架不包括一
我正在使用 docjure并且它的 select-columns 函数需要一个列映射。我想获取所有列而无需手动指定。 如何将以下内容生成为惰性无限向量序列 [:A :B :C :D :E ... :A
$condition使用说明和 $param在 findByAttributes在 Yii 在大多数情况下,这就是我使用 findByAttributes 的方式 Person::model()->f
我在 Ubuntu 11.10 上安装了 qtcreator sudo apt-get install qtcreator 安装的版本有:QT Creator 2.2.1、QT 4.7.3 当我启动
我是一名优秀的程序员,十分优秀!