Şifresiz Giriş Özelliğini Nasıl Güvenli Bir Şekilde Uygulayabilirim?

Yeni bir eklenti yayınladı: Başka Parola Yok

Şu anda beta olarak etiketledim çünkü bir platforma giriş hassas bir konudur ve güvenlik açıkları olabilecek bir şey yayınlamak istemiyorum. İşte benim sorgu:

Güvenli mi?

Güvenliği sağlamak için aşağıdakileri yaptım:

1. Kullanıcı adı / şifre hiçbir zaman ileri geri verilmez, yalnızca benzersiz karma.
2. Karma kullanıldıktan sonra veritabanından kaldırılır, kullanılmayan eski karmalar veritabanı saldırıya uğramadıkça kullanılamaz, ancak daha büyük sorunlarınız olur.
3. XSS saldırılarını önlemek için karmanın tüm veritabanı sorgularından kaçıldı.
4. ajax çağrısına nonce eklendi.
5. CSRF saldırısını önlemek için mobil uçta nonce ve onay eklendi.

Burada nasıl çalıştığının tam bir açıklaması var .

Bir sonraki sürüm, iOS'un çalıştığı için twitter aracılığıyla oauth uygulamasını umuyorum ...

Girişiniz için şimdiden teşekkür ederiz.

Düzenleme: Eklenen bir katman olarak, QR kod girişini başlatan tarayıcıyla aynı tarayıcı girişinde olduğundan emin olmak için bir sessionID kontrolü ekleyeceğime karar verdim.

(Alternatif giriş şemaları için enayi olduğumu)

DB kaçışıyla ilgili bazı nitpicking:

• mysql_real_escape_string()Doğrudan kullanırsınız . Tercih edilen yöntem $wpdb->prepare()veya kullanmaktır esc_sql().

• GÜNCELLEME sorguları en iyi şekilde yönetilir $wpdb->update()

Bence harika bir fikir ama her zamanki gibi en büyük zayıflık insan faktörü, bu durumda telefonun kendisi kayboluyor, çalınıyor veya kesiliyor. SMS doğrulama kodu (gmail gibi) gibi 2 katmanlı kimlik doğrulama eklemeyi düşündünüz mü? Veya daha kolay bir alternatif, bir çerez + gizli kelime olacaktır.

Ayrıca, sayfanızda QR kodunu hangi algoritmanın oluşturduğundan bahsedebilir misiniz?