推荐学习书目 Learn Python the Hard Way Python Sites PyPI - Python Package Index http://diveintopython.org/toc/index.html Pocoo 值得关注的项目 PyPy Celery Jinja2 Read the Docs gevent pyenv virtualenv Stackless Python Beautiful Soup 结巴中文分词 Green Unicorn Sentry Shovel Pyflakes pytest Python 编程 pep8 Checker Styles PEP 8 Google Python Style Guide Code Style from The Hitchhiker's Guide
这是一个创建于 3668 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 giuem 2015-09-26 16:59:53 +08:00 via Android 不知道楼主对于安全的定义是什么。我认为,登录页面使用 https ,不明文传输密码差不多就可以了 |
 | 2 vibrance 2015-09-26 17:00:39 +08:00 via iPhone https 加专线加自制加密算法 |
 | 3 Ouyangan 2015-09-26 17:01:19 +08:00 |
 | 5 abelyao 2015-09-26 17:40:19 +08:00 via iPhone 微信扫二维码登录 |
 | 6 cloverstd 2015-09-26 17:42:01 +08:00 via iPhone 两步验证 |
 | 7 loading 2015-09-26 18:46:43 +08:00 via Android 防爆破,我的就没实现这个…准备加。 |
1 | 9 lingo233 2015-09-26 19:09:10 +08:00 千万别自制加密算法 |
 | 10 virusdefender 2015-09-26 19:24:07 +08:00 网页写入一段乱七八糟的 js ,提交的时候带上这个 js 的运行结果,然后与 session 中比较,可以防住不少低级的机器人。 https://virusdefender.net/index.php/archives/438/ |
 | 11 tinyproxy 2015-09-26 20:14:44 +08:00 via iPhone oauth ,两步验证,客户端证书 |
 | 12 bdbai 2015-09-26 21:13:43 +08:00 via iPhone @virusdefender 对于登录系统,万能机器人应该不多吧? WordPress 博客也经常有机器人评论,随便搞点 trick 就行了。 |
 | 13 Ryans 2015-09-26 21:22:54 +08:00 - https - 如果 http ,请将用户名密码加密后传输,避免网络嗅探 - 多次输入密码错误出现验证码逻辑 - 账号 密码 的后台处理注意避免 SQL 注入漏洞使得万能密码可以绕过 - 找回密码逻辑 |
 | 14 jugelizi 2015-09-26 22:00:21 +08:00 验证码 多次错误输入要有 密码要 JS 非对称加密服务器解密 不上 https 谈安全都是耍流氓 |
 | 15 tuoxie007 2015-09-27 12:00:40 +08:00 via iPhone 最偷懒的做法,用第三方 oauth 登录,自己网站每次给分配一个 token ,定时过期。 |
 | 16 ljdawn 2015-09-27 14:21:09 +08:00 两次 hash 先搞起来。 |
 | 19 MeirLin 2015-09-27 23:34:19 +08:00 @ljdawn 这样其实也无济于事, 攻击者可以在用户输入这一步进行诸如撞库类的攻击 自动写到表单进行 fuzz 提交就好 .. 所以要防御还需是多面的,目前看来正确使用验证码就可以防御,再加上表单提交的 token 基本不用担心撞库了。当然再加上服务器风控能做到发现大量发包提交就封 ip 也是有效的 但是 ip 的获取不能用 XFF ,不然一样可以伪造来绕过,其实撞库就是识别机器行为的博弈,只要机器无法做到就是防御了 当然最重要的是把所有登陆接口都做到防御 .. 挖过阿里撞库的经验 |
 | 21 ssltest 2015-09-28 12:02:35 +08:00 |
Select Language