我的php用户身份验证脚本基于某人的代码,当时他的代码比我好得多。因此我相信,除非我有充分的理由改变它们,否则我不太明白的部分最好不要单独留下。我已经改进并对自己应该做的事情有自己的想法。
此脚本中的一个功能是允许您为html登录名和密码字段定义(并轻松更改)自定义名称。
我想如果有人试图强行进入帐户,这会让你混淆他们的脚本,直到他们注意到并做出反应,但除此之外,我只是看不到重点。
在我简化脚本并删除它之前,任何人都可以解释这个真正的好处吗?
答案 0 :(得分:5)
我担心根本没有任何实际好处,密码字段在HTML中总是类型=“密码”,这本身就证明了这一点毫无意义。
其他原因反对,任何客户端应用程序都会查看HTTP请求和响应或“密码”输入(仍然可以同时执行),中间攻击会查看HTTP / TCP数据包,而暴力攻击仍会暴力破解(虽然为什么他们强行对网站进行'登录'而不是ssh,打开端口或尝试使用已知的漏洞是我的。
希望有所帮助
答案 1 :(得分:2)
这通常是为了避免自动蜘蛛抓取他们可能暴力破解的登录页面。它是否有效是值得怀疑的;但无论哪种方式,如果你认为它使代码更复杂,那么它可能不应该存在。
答案 2 :(得分:1)
安全隐患 is no kind of security!
我可以只搜索输入字段,并假设第一个是登录,而type="password"的第二个是表单上的密码,无论其名称如何。这不会阻止任何人通过HTML和Javascript的传递知识。使用Beautiful Soup和10分钟的简单Python程序将为所有想要的人传递这种“安全性”。进入Python,HTML和Javascript的门槛非常低。
如果有人认为不同,他们就不必处理由于“聪明”的“安全”而不得不修补被反复破坏的系统,因为这些错误的假设“它使它不值得”,如果有的话是金钱,即使是少量的钱,对于世界上那些拥有空闲时间而没有其他收入的人来说也是值得的。而这甚至没有开始涵盖更糟糕的问题,那就是经常被解雇的“剧本小孩”的攻击者,这些攻击者只是为了攻击他们而破坏他们并造成破坏。
答案 3 :(得分:1)
这可能用于防止针对许多计算机的攻击,即。不是试图访问您的网站的蛮力,而是试图访问IP地址范围内任何网站的攻击。</ p>
我经常在服务器日志中看到攻击试图利用旧的phpMyAdmin错误或其他常用服务,即使我的网站上没有任何phpMyAdmin。这非常相似。
答案 4 :(得分:0)
我能想到的唯一优势是,对于所有易于利用的网站,如果只需要很少的努力,攻击者可能甚至不会打扰你。如果这些东西不会自动改变,我不确定它是否有用(因为你不太可能经常手动更改它们)。
另一方面,如果您的密码容易受到字典攻击,那么任何人都不可能像这样破坏它们。