Ограничение информации о Логинах пользователей
Добавлено: 15 дек 2011, 14:09
Здравствуйте!
Насколько я понимаю, брут паролей от аккаунтов привел к падению серваков.
Но, даже если это не первопричина, я предлагаю ограничить доступность Логинов пользователей, дабы максимально исключить попытки подбора пароля.
На данный момент, Логины пользователей доступны на страницах с победителями конкурсов(! злоумышленникам есть из кого выбрать, ибо это самые "сладкие" акки !) и на форуме.
Это самые очевидные (просто больше я не стал искать) страницы, возможно есть еще способы узнать Логин (через личные сообщения, рефераллов или еще как-нить).
Предлагаю:
- на страницах конкурсов показывать ИД пользователей, а не логины.
- на форуме прикрутить поле в Личном разделе "Отображаемое имя". Т.е. чтобы в сообщениях отображались данные из того поля, а не Логин.
Незнание Логинов остановит и попытки подбора. Врятли найдутся те, кто будет подбирать логин+пароль.
Лично меня не заботит столько факт о безопасности, сколько факт доступности сайта. Стабильности хочется. Понимаю, что ддос всегда возможен, было бы желание, но не стоит его провоцировать выкладывая в свободный доступ половину аутентификационной пары.
Насколько я понимаю, брут паролей от аккаунтов привел к падению серваков.
Но, даже если это не первопричина, я предлагаю ограничить доступность Логинов пользователей, дабы максимально исключить попытки подбора пароля.
На данный момент, Логины пользователей доступны на страницах с победителями конкурсов(! злоумышленникам есть из кого выбрать, ибо это самые "сладкие" акки !) и на форуме.
Это самые очевидные (просто больше я не стал искать) страницы, возможно есть еще способы узнать Логин (через личные сообщения, рефераллов или еще как-нить).
Предлагаю:
- на страницах конкурсов показывать ИД пользователей, а не логины.
- на форуме прикрутить поле в Личном разделе "Отображаемое имя". Т.е. чтобы в сообщениях отображались данные из того поля, а не Логин.
Незнание Логинов остановит и попытки подбора. Врятли найдутся те, кто будет подбирать логин+пароль.
Лично меня не заботит столько факт о безопасности, сколько факт доступности сайта. Стабильности хочется. Понимаю, что ддос всегда возможен, было бы желание, но не стоит его провоцировать выкладывая в свободный доступ половину аутентификационной пары.