Ciao,
ho letto che per prevenire attacchi di tipo brutal force, il login utente dovrebbe prevedere il rallentamento volontario della procedura stessa di registrazione e che esistono sistemi di crittografia che già prevedono questa accortezza (tipo il blowfish).
In pratica io cosa devo fare: limitarmi ad usare questo tipo di sistema crittografico o rallentare io stesso il processo di login? (magari con uno sleep() messo da qualche parte)
Altra domanda, per favore.
Per prevenire attacchi di tipo CSRF durante un login, bisognerebbe creare un token casuale, inviarlo all’utente e ricontrollarlo quando l’utente stesso lo invierà insieme a username e password o altri dati richiesti. Il token dovrebbe essere uguale.
Ma un utente malintenzionato non potrebbe prendere questo token (che è inviato in chiaro) e usarlo nel suo tentativo di CSRF per spacciarsi per un “utente vero”?
Non potrei gestire questa situazione creando una variabile di sessione nella pagina login e ricontrollarla nelle varie pagine successive?
Grazie.