私はcakephp 2.xに取り組んでいます。私は認証コンポーネントを使用しています..認証コンポーネントでユーザーのログイン試行の失敗を追跡できるかどうかを尋ねたいのですが、Googleで検索したところ、このコンポーネントが見つかりました
http://bakery.cakephp.org/articles/aep_/2006/11/04/brute-force-protection
Cakephp 2.3 でこれを使用する必要がありますか?そのコンポーネントは 2.3 と互換性がありますか?アプリがブルート フォース攻撃を受けないようにしたいです。このコンポーネントは私にとって完璧ですか?または、他にも良いコンポーネントがあるか、またはブルートフォースを処理するためのより良いアプローチがあるか?
いいえ、それは IMO の悪いアプローチです。
最初に、フグまたは「低速暗号化」による何らかのハッシュを使用します。それが最も重要なベースファクターです。
次に、セッション、IP、またはその他の簡単になりすまし可能なデータを使用してログインを保護しないでください。ただし、ユーザーがログインしたい実際のユーザー レコードを使用してください。このようにして、攻撃者は自分の IP やその他の識別機能を変更して、ログイン試行の回数に影響を与えることができません。また、ボット ネット攻撃 (一度に複数のコンピューターを使用する) に対する保護も強化されます。
したがって、彼が「carl」としてログインしようとすると、この特定のアカウントへのログインをカウントし、特定の時間内に行われたリクエストが多すぎる場合はブラック ホールをカウントします (このアカウントのログインを一時的に無効にします)。もちろん、彼はこの方法ですべてのユーザーを実行できますが、実際にユーザーをブルート フォースすることはできません。ただし、特定の期間が経過したら、このユーザーの「ログインを有効にする」必要があります。