Лучшие практики для страниц входа в систему?
Попробуйте: увеличьте счетчик в конце перед условием while:
do{
...
if (count == attempts) {
result = "You are out of guesses! The number was " + generatedNumber;
}
count++;
}while(count < attempts);
return result;
...
12 ответов
Примечания удобства использования:
Лично я ненависть , когда сайты, помещенные ", забыли, пароль" или "забыл имя пользователя", или "справка" связывает промежуток поле пароля и кнопка Login. Как пользователь клавиатуры, мне не придется СНАБДИТЬ ВКЛАДКАМИ по ним для получения до кнопки отправки.
Еще лучше, также получите Ввести нажатие клавиши на поле пароля так, чтобы я мог автоотправить с клавишей Enter.
@Joe Lencioni и все остальные, интересующиеся Shibboleth
Страницы вашего сайта должны иметь общий внешний вид на каждой странице.
Относительно Shibboleth и SSO. Важно отметить, с какой ролью связана ваша организация. Являетесь ли вы поставщиком удостоверений - IdP (аутентифицирующим пользователя и затем отправляющим ответ SP), или вы являетесь поставщиком услуг - SP (который предоставит аутентификацию на основе ответа и атрибутов, отправленных IdP.
Если вы Вы являетесь SP, у вас есть все, что вы хотите, чтобы связать своих пользователей с IdP, чтобы они могли войти в систему. Многие SP создают свою собственную страницу WAYF (откуда вы), которая перенаправляет пользователя на страницу входа в IdP.
Если вы IdP, у вас должна быть страница входа в систему, которая выглядит знакомой для пользователя, чтобы он мог войти в систему и затем быть перенаправлен на SP с атрибутами, которые необходимы для SP для предоставления надлежащего доступа.
Что касается фишинг-атак, то это важно поддерживать актуальность метаданных Shibboleth. Я полагаю, что многие федерации рекомендуют загружать метаданные каждые (1) час.
На многие вопросы Шибболет можно ответить здесь: https://spaces.internet2.edu/display/SHIB2/Home
Надеюсь, это поможет вам .
хранение того же дизайна в Вашей странице входа в систему сообщит Вашим пользователям, они пытаются войти в систему Вашей страницы, если конструктивное изменение случайным образом пользователь может думать, что сайт был перемещен, или они - жертвы фыркания. таким образом, я рекомендовал бы сохранить те же инструкции как Ваши страницы содержания
Независимо от того, что Вы разрабатываете, Phisher сможет подражать ему. Предотвращение фишинга полностью является трудной проблемой. У Вас должны будут по существу быть некоторые средства идентификации Ваших пользователей прежде , они входят в систему. Некоторые банки делают это теперь. Вы вводите свое имя, и затем они показывают Вам изображение, которое Вы сами выбрали, и затем, после того как Вы уверены, что это - то же изображение, Вы вводите свой пароль. Это может быть большим уровнем сложности, чем, чего требует Ваш сайт.
На технической стороне, Bank of America выполняет это при помощи Локального общего объекта Flash под названием PassMark. Ваш браузер тихо передает обратно эти данные, идентифицирующие себя к Банку. Если Вы удалите LSO, то Вам не покажут Ваше изображение, потому что BofA не может идентифицировать Вас. Даже это все еще уязвимо для атак "человек посередине".
Еще один "нет понятное дело" вещь, что я все еще вижу на большом количестве приложений, что перехожу в, если указанные учетные данные недопустимы, не указывает, какой недопустим. Просто скажите что-то как "недействительный пользователь / комбинация пароля" вместо "неверного пароля", который предотвратит тех людей от социальной инженерии для знания базы пользователей, получающей доступ сайту.
В журнале Smashing Magazine довольно много сводок о формах входа. Шаблоны разработки веб-форм: формы регистрации
включают предотвращение DOS прикладного уровня
Быть неопределенным с отказами входа в систему. Универсальный "Вход в систему перестал работать" вместо "Неизвестного Имени пользователя".
Использование капча или другой тест Тьюринга.
Походит на легкую задачу, но использование HTTPS, если приложение требует его. Heck, даже если это не гарантирует его, потому что люди склонны снова использовать те же пароли. Можно получить сертификат SSL, дешевый в эти дни. Если они снимают пароль с Вашего сайта, они могут попробовать его в другом месте. Даже многие банки не имеют страницы входа в систему на безопасной строке. Это отправляет на страницу HTTPS, но нет все еще никакой защиты человека в средней атаке типа.
я соглашаюсь с Omniwombat. Фишинг является тяжелой проблемой решить хорошо и на вид невозможный решить его полностью.
Лучшим, который я видел до сих пор в попытке остановить фишинг, является интерфейс входа в систему банка. Вход в систему сделан в 3 частях, сначала пользователь вводит их номер аккаунта (число дебетовой карты, номер кредитной карты...), второй шаг случайным образом перечислит 1 из 3 вопросов, указанных пользователем (например: Что сделал highschool Вы принимаете участие для класса 10), последняя часть, если первые два успешны, должна отобразить изображение и некоторый текст, указанный пользовательским знаком at sign с полем пароля ниже.
Полезная подсказка для прибывших обстоятельств: можно отключить клиентское сохранение пароля путем добавления автоматического заполнения = "прочь" к полю пароля.
, Который не работает над всеми браузерами (если я помню, IE 6 + и Firefox 3 +)
Поймите, что Ваш пользователь собирается провести все 10 секунд на той странице обычно, действительно не имеет значения, на что это похоже, пока очевидно, куда поместить Ваш идентификатор пользователя и пароль. Кроме этого просто не один из тех сайтов, который предлагает посылать мне по электронной почте мой пароль, если я забываю это. По крайней мере, позвольте мне полагать, что это скрыто в хорошем соленом хеше где-нибудь, где Вы не можете получать его никогда.
Проверьте:
1) В полнотекстовом SQL Server можно определить шумовые слова/стоп-слова. Можно отредактировать файл мира шума и затем перестроить каталог. Таким образом, вы можете поместить все HTML- тэги как шум. Установите флажок
http://msdn.microsoft.com/en-us/library/ms142551.aspx
2) С треком изменениями он автоматически включает изменения в текущий полнотекстовый поиск, но ранг этой вновь добавленной статьи изменяется по сравнению с предыдущим. Так что пока и если вы мастер индекс синхронизирован, он будет сдавать вверх и вниз с ранжированием.
3) Насколько мне известно, мы можем внедрять пользовательские фильтры, stemmers и средства разбиения по словам и подключаться к полнотекстовому поиску SQL Server. По умолчанию я могу не знать полный список, но он имеет документы и pdf.
Для получения дополнительной информации о полнотекстовом поиске SQL Server 2008 проверьте:
http://technet.microsoft.com/en-us/library/cc721269.aspx
-121--3464959-Если у вас есть служебная программа SQL командной строки, то, скорее всего, она позволяет выполнять операции командной строки. В соответствии с версией SQL можно проверить ее.
-121--4585824-Думайте, как пользователь, а также охранник: если вы заставляете их делать captcha каждый раз, чтобы войти в систему, они собираются сильно заболеть от этого.
Если вы пытаетесь предотвратить отказ в обслуживании, то, возможно, captcha появится только после того, как будет достаточно (неудачных?) попыток входа в систему за определенный период времени.
Рассмотрите возможность использования NTLM, OpenID или Shibboleth, чтобы сделать вход как можно более автоматическим для большинства пользователей.
Не заставляйте людей заходить на отдельную страницу для регистрации. Возможно, у вас будут поля имени пользователя и пароля, а также кнопка входа/отправки. Просто добавьте кнопку «Зарегистрировать как нового пользователя», чтобы новые пользователи могли использовать существующие поля имени пользователя/пароля. Если требуется собрать дополнительные сведения для новых пользователей, откройте форму (используя DHTML, а не всплывающее окно) для их сбора.