У меня есть три веб-сайта, размещенные на одном и том же веб-сервере. Недавно я работал на одном из веб-сайтов и заметил, что около месяца назад была изменена группа файлов. В частности, все экземпляры index.html были переименованы в index.html.bak.bak , а файлы index.php были помещены на свои места. Файлы index.php относительно просты; они включают файл, скрытый […]
Я прочитал много статей о защите CSRF ( это хороший ) и различные вопросы здесь, на SO, но ни один из них, похоже, недостаточно информативен для ответа на мой вопрос. Я разрабатываю свою собственную CMS, и я хочу защитить свои формы входа и комментариев. Я позволю анонимным пользователям прокомментировать мой сайт. Все формы на моем […]
Это требование к проекту. где у меня несколько логинов, но некоторые пользователи не могут получить доступ к нескольким модулям. как супер администратор и аналитик могут получить доступ ко всему модулю, но разработчик может использовать только собственный контроллер. поэтому в этом случае, как я могу охранять контроллер с несколькими входами. также обратите внимание, что у меня […]
Несколько дней назад я просмотрел приложение yii2 и отметил, что имя пользователя и пароли из формы входа публикуются без шифрования. Как я могу сделать свое имя пользователя и пароль более безопасными? Я знаю, что \yii\helpers\Security::encrypt($data, $secretKey) будет шифровать данные и симулировать, мы можем его расшифровать. Но как использовать его в виде формы входа? Это моя […]
Есть ли служба, которая позволяет мне проверять URL-адрес, чтобы узнать, может ли он быть опасным сайтом? Когда пользователь выходит из нашего приложения, нажав на ненадежную ссылку, мы отправили их через экран «Вы уверены, что хотите покинуть». Было бы неплохо сделать быстрый чек, чтобы узнать, следует ли предупреждать пользователя.
Я хотел бы иметь возможность затормозить попытки входа на основе неудачных попыток, но у меня возникли некоторые вопросы. Должен ли я использовать MySQL? (читайте, что он может напрягать БД) Должен ли я дросселировать пользователя и общесистемную или просто общесистемную? (чтобы остановить обычных людей от угадывания паролей) Как рассчитать мой порог? (поэтому он автоматически адаптируется к […]
У вас есть стратегия для этого? Если я продаю веб-систему клиенту и в соответствии с юридическим соглашением, клиент не может продать его другим, как я могу быть уверен, что он этого не сделает? Моя первая идея – это какой-то ключ, который должен находиться в корневом каталоге, и этот файл действителен только для этого конкретного домена. […]
Как определить, вызван ли мой php-скрипт из другого домена, а другой домен делает незаконным использование моего сценария? Есть ли способ предотвратить это? ОБНОВИТЬ Я нашел этот вопрос на SO, но его все еще небезопасно, его можно подделать.