Личный кабинет. От чего защищаться?
 

Собственно - при написании личного кабинета на что следует обращать внимание в первую очередь? От каких видов атак защищаться?

Я не прошу досконально объяснять мне - какая атака как делается, что делать, чтоб ее избежать и т.п. Я прошу, просто, сказать основные моменты.

Буду благодарен за информацию.

Re: Личный кабинет. От чего защищаться?
 

SQL inj / XSS

Re: Личный кабинет. От чего защищаться?
 

Re: Личный кабинет. От чего защищаться?
 

Большое спасибо, буду читать. Есть ли еще какие нибудь тонкости?

Re: Личный кабинет. От чего защищаться?
 

Брутфорс же

Re: Личный кабинет. От чего защищаться?
 

Брут это понятно. Но с ним я буду бороться комплексной защитой. Лк у меня на несколько проектов, аля ЦУП у инновы. Для каждой игры свой логин + пасс не связанный с данными самого лк. И на финансовые операции будет платежный пароль. Который, уже, сбрутить будет очень сложно. Звучит, конечно, не очень легким для юзеров, но тут уж либо защита, либо простота.)

Re: Личный кабинет. От чего защищаться?
 

Тогда двойную капчу )) 1 капчу и 1 рекапчу, наверняка что бы ещё и сбор картинки

Re: Личный кабинет. От чего защищаться?
 

Ну, как показывают наблюдения, ничто не злит пользователя так, как капча.:redlol:Да и капча, на данный момент, уже устарела, ее обходят только в путь.

Re: Личный кабинет. От чего защищаться?
 

ну от тру школоло хакеров защищает на ура, да и можно подключить recaptcha её не так легко обойти

Re: Личный кабинет. От чего защищаться?
 

А так, да, ее использовать буду, но в единичных случаях, по две капчи, все же, не очень будет.

Кстати, на счет хэша пароля, если добавить соль, сделать двойное хэширование разными алгоритмами + несколько тысяч раз перехешировать, будет ли возможность этот хэш вскрыть? Допустим, если мы узнаем соль и способы хэширования?