Личный кабинет. От чего защищаться?

[HastemaNS]

Собственно - при написании личного кабинета на что следует обращать внимание в первую очередь? От каких видов атак защищаться?

Я не прошу досконально объяснять мне - какая атака как делается, что делать, чтоб ее избежать и т.п. Я прошу, просто, сказать основные моменты.

Буду благодарен за информацию.

[Apoloser]

SQL inj / XSS

[SmokeeLow]

Тут есть немного

[HastemaNS]

Большое спасибо, буду читать. Есть ли еще какие нибудь тонкости?

[gorodetskiy]

Брутфорс же

[HastemaNS]

Брут это понятно. Но с ним я буду бороться комплексной защитой. Лк у меня на несколько проектов, аля ЦУП у инновы. Для каждой игры свой логин + пасс не связанный с данными самого лк. И на финансовые операции будет платежный пароль. Который, уже, сбрутить будет очень сложно. Звучит, конечно, не очень легким для юзеров, но тут уж либо защита, либо простота.)

[gorodetskiy]

Тогда двойную капчу )) 1 капчу и 1 рекапчу, наверняка что бы ещё и сбор картинки

[HastemaNS]

Тогда двойную капчу )) 1 капчу и 1 рекапчу, наверняка что бы ещё и сбор картинки

Ну, как показывают наблюдения, ничто не злит пользователя так, как капча.:redlol:Да и капча, на данный момент, уже устарела, ее обходят только в путь.

[SmokeeLow]

Ну, как показывают наблюдения, ничто не злит пользователя так, как капча.:redlol:Да и капча, на данный момент, уже устарела, ее обходят только в путь.

ну от тру школоло хакеров защищает на ура, да и можно подключить recaptcha её не так легко обойти

[HastemaNS]

ну от тру школоло хакеров защищает на ура, да и можно подключить recaptcha её не так легко обойти

О рекапче

Да, ее, может, не так легко обойти, но и просто пройти игроку тоже не легче:redlol:

А так, да, ее использовать буду, но в единичных случаях, по две капчи, все же, не очень будет.

Кстати, на счет хэша пароля, если добавить соль, сделать двойное хэширование разными алгоритмами + несколько тысяч раз перехешировать, будет ли возможность этот хэш вскрыть? Допустим, если мы узнаем соль и способы хэширования?