1

一部のユーザーがセキュリティに疑問を呈していたため、Web サイトのセキュリティを強化していますが、誰もあなたのパスワード (SHA-512 と md5 を使用して二重にハッシュされています) を表示できないとしか言​​えませんが、彼らは返信しますが、彼らが私のアカウントに侵入すると、パスワードを変更してアカウントをいじることができます。

そこで、Steam のセキュリティのように、ランダム キーを送信しないと新しいコンピュータにログインできないように、セキュリティを強化します。私はそれを行う方法を考えようとしているので、ユーザーがログインしたすべてのコンピューターを持つ小さな配列をデータベースに保存するようにしました。

しかし、スクリプトでチェックできるようにデータが必要ですが、どのデータかよくわかりません。IPアドレスを考えていましたが、外部ソースなしでは取得できません。たとえば、私のIPや他のサイトなどです。同じブラウザー/コンピューターで変更されないデータが必要です。

質問は、彼/彼女が使用しているブラウザーに固有のデータが必要ですが、彼/彼女が別のコンピューターまたはブラウザーを使用している場合は変化します。

4

2 に答える 2

0

多くのユーザーがいるかどうかはわかりませんが、実際のアプリケーションでこれを行ったことはありませんが、ずっと前に bouncycastle で遊んだことがあります。IPフィルタリングを使用して会社にサービスを提供するサードパーティプロバイダーに同様の問題がありましたが、転送を提供せず、広いIP範囲を持つプロキシがそこに入るため、ドバイのオフィスは拒否されました.

これが私が考えていたが適用されなかったオプションです:

クライアントの各/すべて/グループの自己署名キーを作成してサーバーストアにインポートし、その公開部分をインポートしてから、サーバーキーストアにインポートされたキーを持っていない限り、誰もそこにいることを許可しません。

プロキシを使用する企業にサービスを提供している場合は、プロキシにキーを提供させることができます。

于 2012-10-28T09:37:55.887 に答える
0

IP レベルで Web アプリケーションにセキュリティを実装することは可能です。実際のところ、たとえば私が働いている会社では、会社のネットワークに接続されたデバイス、つまり特定の範囲の IP アドレスからのみ「管理者」アカウントでログインすることができます。

ユーザーごとにこの手法を実装する場合、ユーザーがプロキシサーバーの背後にいる可能性があるため、多くの問題が発生します。これは、ログインのたびに、または特定の時間間隔で IP アドレスを変更するためです。

これらはさまざまな種類のプロキシであり、ユーザーがそれらのいくつかを使用していることを検出し、ユーザーの実際の IP アドレスを取得できます。次の HTTP ヘッダーを確認してください: HTTP_X_FORWARDED_FOR、HTTP_VIA AND REMOTE_ADDR EXPLAINED、およびより具体的には、このX-Forwarded-For 1。

いずれにせよ、それらはプロキシ サーバーのような IP アドレスを非表示にする多くのテクニックであり、HideMyAssのようなアプリケーションはすべてを非常に簡単にします.

とにかく、あなたのユーザーがデータベースに保存する特定の電子メールアドレスのセットをあなたに送信し、ユーザーがそれらを使用してアプリケーションに接続されているかどうかを確認すると、あなたのアカウントを (パスワードとして) 使用して悪用される可能性があります。また。IP アドレスは、データベース テーブルの別のフィールドになります。したがって、誰かがパスワードを変更できる場合、チェックしている IP リストに別の新しい IP を追加できる可能性があります。

管理者アカウントのみにそのような IP セキュリティを実装するのが最善の策だと思います。そうすれば、あなたとあなたのクライアントは、誰もそれに参加してパスワードを変更できないことに落ち着くでしょう.

于 2012-10-28T08:32:46.630 に答える