Quote Originariamente inviata da Luca Diver Visualizza il messaggio
Ciao,

ho letto che per prevenire attacchi di tipo brutal force, il login utente dovrebbe prevedere il rallentamento volontario della procedura stessa di registrazione e che esistono sistemi di crittografia che già prevedono questa accortezza (tipo il blowfish).
In pratica io cosa devo fare: limitarmi ad usare questo tipo di sistema crittografico o rallentare io stesso il processo di login? (magari con uno sleep() messo da qualche parte)
Qui un'idea di come si evitano tentativi continui.

Per prevenire attacchi di tipo CSRF durante un login, bisognerebbe creare un token casuale, inviarlo all’utente e ricontrollarlo quando l’utente stesso lo invierà insieme a username e password o altri dati richiesti. Il token dovrebbe essere uguale.

Ma un utente malintenzionato non potrebbe prendere questo token (che è inviato in chiaro) e usarlo nel suo tentativo di CSRF per spacciarsi per un “utente vero”?
Se usi una connessione SSL, cosa ormai d'obbligo, i dati non viaggiano in chiaro.