我在我的网站上增加了安全性,因为我的一些用户是 质疑安全性,但我只能说是没有人可以查看你的 密码(使用SHA-512然后使用md5进行双哈希),但是他们会回复,但如果他们进入我的帐户,他们会怎么做 可以更改我的密码并玩我的帐户。
所以我要提高我的安全性,比如Steam的安全性,你无法登录 没有他们发送随机密钥的新计算机。我正在尝试一种方法来做到这一点,所以我已经得到它所以它将在我的数据库中存储一个小数组,该数组将包含用户已登录的所有计算机。
但我需要一些数据,以便我的脚本可以检查它,但我不太清楚什么数据,我在考虑IP地址,但如果没有外部源,例如 whats my ip ,你就无法得到它。其他类似的网站。我需要一些不会改变相同浏览器/计算机的数据。
所以问题是,我需要一些他/她正在使用的浏览器所特有的数据,但如果他/她在不同的计算机或浏览器上,它确实会发生变化。
答案 0 :(得分:0)
可以在IP级别的Web应用程序中实现某些安全性。事实上,例如,在我正在工作的公司中,只能从公司网络中连接的设备 - 管理员帐户 - 使用给定的IP地址范围登录。
如果您想为每个用户实施此技术,您将遇到很多问题,因为您的用户可能在某个代理服务器后面,即在每个登录时或在给定的时间间隔内更改其IP地址。
它们是不同的types代理,您可以检测用户何时使用其中一些代理,然后检索用户的真实IP地址 - 请检查此HTTP标头:HTTP_X_FORWARDED_FOR, HTTP_VIA AND REMOTE_ADDR EXPLAINED并且更具体这个X-Forwarded-For一个。
任何方式,他们都有很多隐藏IP地址的技术,比如代理服务器和像HideMyAss这样的应用程序,这使得整个事情变得非常简单。
无论如何,即使您的用户向您发送一组特定的电子邮件地址,您将存储在您的数据库中,并检查用户是否使用它们连接到您的应用程序,滥用的可能性相同,使用您的帐户(作为密码) )再次面对。 IP地址只是数据库表中的其他字段。因此,如果任何人都可以更改密码,他可能可以将其他新IP添加到您正在检查的IP列表中。
我认为最好的想法是,只为您的管理员帐户实施此类IP安全性。然后,您和您的客户将保持冷静,没有人可以加入并更改密码。
答案 1 :(得分:0)
不知道你是否有很多用户,我从来没有在实际应用中做到这一点,但很久以前就玩过bouncycastle。与第三方提供商向IP公司提供IP过滤服务的问题类似,但迪拜办事处遭到拒绝,因为某些代理进入那里并未提供转发且具有广泛的IP范围。
这是我想到但从未应用过的选项:
为每个/所有/客户组创建一个自签名密钥以导入和导入服务器存储中的公共部分,然后除非他们在服务器密钥库中导入了密钥,否则不允许任何人。< / p>
也许如果您为使用代理的公司提供服务,您可以让代理服务于密钥。