七月

后臺(tái)登陸沒有驗(yàn)證碼??!

后臺(tái)登陸沒有驗(yàn)證碼??!
#1樓
發(fā)帖時(shí)間:2013-6-11   |   查看數(shù):0   |   回復(fù)數(shù):4
七月
加密只用了單純的MD5一次加密
2013-6-11 #2樓
空城
感謝您的反饋,
1,驗(yàn)證碼無非是為了防止非法登陸,但影響了用戶體驗(yàn),所以我們決定去掉了。

2,第一次加密,是為了簡(jiǎn)化程序設(shè)計(jì),方便和別的程序整合。

或許,這兩個(gè)問題有人會(huì)認(rèn)為有安全隱患。
a,我們后臺(tái)登陸文件是可以改名,改名后別人都不知道路徑,也無法暴力破解管理員密碼。就算有驗(yàn)證碼,有一些暴力破解軟件,一樣可以識(shí)別驗(yàn)證碼,這時(shí)驗(yàn)證碼就只能起到影響管理員登陸,并不能起到什么防止非法登陸的作用。我認(rèn)為使用驗(yàn)證碼防止非法登陸,還不如密碼錯(cuò)誤10次,就禁止該IP30分鐘內(nèi)無法登陸,這樣更好。比如discuz就是這樣設(shè)計(jì),我認(rèn)為這樣很好。

b.用戶登陸后,密碼是再經(jīng)過key+base64加密,就是雙重加密,別人不知道key是很難破解的。只要你數(shù)據(jù)庫(kù)沒被別人盜走,我認(rèn)為是很安全的。(不過下個(gè)版本,考慮把MD5雙重加密吧)
2013-6-12 #3樓
skyyna
評(píng)論呢 ,不加驗(yàn)證碼也是為了用戶體驗(yàn)嗎?要知道,沒有驗(yàn)證碼,垃圾評(píng)論滿天飛的,
2016-3-2 #4樓
無極劍圣
他說的是后臺(tái)登陸的時(shí)候,如果前臺(tái)登錄的話。留言啊,評(píng)論啊,等。可以吧驗(yàn)證碼加上。
2016-4-6 #5樓
游客組