Ich entwickle eine Webseite, auf der Leute Dinge schreiben und kommentieren können (keine persönlichen Informationen erforderlich), und ich muss ein Anmeldeformular einfügen, damit Benutzer alle ihre Aktionen auf meiner Webseite sehen können. Meine Idee ist es, ein Anmeldeformular ohne SSL zu programmieren und es den Leuten zu ermöglichen, sich bei Facebook anzumelden, wenn sie dies bevorzugen. Die Seite wird nur dann vollständig geladen, wenn JavaScript aktiviert ist.
-
Mein erstes Problem besteht darin, sicherzustellen, dass niemand die Benutzeranmeldeinformationen stehlen kann, indem er sich wie ein Mann in der Mitte verhält. Ich dachte daran, es mit einem ersten Hashing auf der Clientseite mit JavaScript und dann auf der Serverseite zu lösen, wenn ich Hash-Werte erhalte (falls jemand JavaScript löscht), ein zweites Hashing und diese Hash-Werte in der Benutzerdatenbank zu speichern. Ist es ein sicherer Weg, es zu implementieren? Gibt es auch Chancen, dass einige Daten verloren gehen? Wenn ja, wie kann ich feststellen, ob die empfangenen Daten nicht gefährdet sind?
-
Vor Wörterbuch- und Brute-Force-Angriffen schützen. Ich würde es lösen, indem ich die Anzahl der fehlgeschlagenen Anmeldeversuche zähle, die diesem Benutzerkonto zugeordnet sind. Wenn es mehr als 8-10 in der Reihe ist, zeige ich bei jeder nächsten Anmeldung ein CAPTCHA und implementiere auch eine Zeitverzögerung zwischen aufeinanderfolgenden Anmeldeversuchen . Ich denke, auf diese Weise werden IP-Änderungen kein Problem sein, da ich die Anzahl der fehlgeschlagenen Anmeldungen auf der Serverseite zähle (ich würde eine Benutzervariable in PHP festlegen).
-
Das Anmeldeformular. Ich habe es auf diese Weise implementiert (ohne das Hashing für jetzt):
<input id = "Benutzername" name = "Benutzername" placeholder = "Benutzername" type = "text" ><input id = "Passwort "name =" pass "placeholder =" Password "type =" password ">
Wenn das Formular jedoch über die URL gesendet wird, kann ich das Passwort wie folgt lesen: /LogIn.php?userName = user&pass = pass Wie kann ich das Passwort ausblenden?
ol>
Was könnten andere gute Ratschläge sein, um so viel Sicherheit wie möglich ohne SSL zu erreichen?