ציטוט:
נכתב במקור על ידי BlueNosE
אוי אתה איבדת אותי מזמן..
אני לא מדבר על עבודה מול משתמשים. ברור שצריך לאבטח את זה. אי אפשר לתת למשתמשים לפרסם סקריפטים או סטייל באתר, וכעיקרון הרבה יותר חכם להגביל אותם בתגים שאתה כן רוצה שהם יפרסמו במקום בכאלו שאתה לא רוצה.
אני בכלל דיברתי על זה שאמרת ש"אם לקוח רוצה לתת גישה למנהלים". אין מה לעשות נגד זה.
ד"א, אין הרבה היגיון בלעבוד עם COOKIES לשמירת מידע משתמש. אם הצליחו איכשהו לסנן לך JS לאתר, אם דרך הFTP או דרך האתר עצמו, המידע שלך הלך.
אני אשמח להבין איך אפשר להגן FLOODING ועם זאת לא לחסום משתמשים שבטעות שלחו פעמיים בצורה אוטומטית.
|
אני אישית משתמש בקוקיס ובסשן, יש אימות IP, יוזר אייג'נט, ואת כל הפרטים שהצלחתי לדלות.
אני עובד לפי השיטה הבאה. אף פעם אתה לא חוסם משתמש חסימה תמידית. כשיש דברים רגישים, דבר ראשון, כל טופס שנשלח יש לו formid - שזה seed אקראי שמוצפן ב-MD5/SHA1. במידה ואותו ה-formid נשלח פעמיים ברצף - אתה מתריע למשתמש שכנראה התבצעה שגיאה.
אני לא רוצה לספר את השיטה המדוייקת שלי - הרי כך היא תיהיה קצת פחות אפקטיבית, אבל אם מישהו באמת ירצה להציף משהו שעבדתי עליו - הוא יסבול מאוד. כמו כן, אני תומך בקאפטצ'ה פרי =) לא צריך קאפטצ'ה.