Właśnie opublikowałem nową wtyczkę: No More Passwords
Obecnie mam tag beta, ponieważ logowanie do platformy to delikatny problem i nie chcę wypuszczać czegoś, co może mieć luki w zabezpieczeniach. Oto moje zapytanie:
Czy jest bezpieczny?
Wykonałem następujące czynności, aby zapewnić bezpieczeństwo:
- Nazwa użytkownika / hasło nigdy nie są przekazywane w tę iz powrotem, tylko unikatowy skrót.
- Hash jest usuwany z bazy danych, gdy jest używana, nie można użyć starych skrótów, chyba że baza danych zostanie zhakowana, ale wtedy masz większe problemy.
- Wszystkie zapytania bazy danych hash zostały pominięte, aby zapobiec atakom XSS.
- nonce dodane do wywołania ajax.
- dodano nonce i potwierdzenie na urządzeniu mobilnym, aby zapobiec atakowi CSRF.
Tutaj mam pełny opis tego, jak to działa .
Następna wersja Mam nadzieję wdrożyć oauth za pośrednictwem Twittera, ponieważ iOS działa teraz w ...
Z góry dziękuję za Twój wkład.
Edycja: Zdecydowałem, że jako dodatkową warstwę dodam sprawdzenie sessionID, aby upewnić się, że ta sama przeglądarka loguje się jak przeglądarka, która zainicjowała logowanie kodem QR.