Бессмысленно использовать неизвестные имена для полей входа

Question

Мой скрипт аутентификации пользователя php основан на коде того, кто в то время был гораздо лучше, чем я. Таким образом, я верил, что части, которые я не совсем понял, лучше оставить в покое, если у меня не было веской причины их менять. С тех пор я улучшила и у меня есть свои представления о том, что должно быть сделано.

Одна из вещей в этом скрипте позволяет вам определять (и легко изменять) пользовательское имя для полей html login и password.

Полагаю, что если кто-то попытается обманным путем заставить их войти в учетную запись, это позволит вам спутать их сценарий, пока они не заметят и не отреагируют, но в остальном я просто не вижу смысла.

Может кто-нибудь объяснить какую-либо реальную выгоду от этого, прежде чем я упросту свой сценарий и уберу это?

Answer 1

Боюсь, что никакой реальной выгоды вообще нет, поля паролей всегда будут иметь тип = "пароль" в HTML, что само по себе в значительной степени доказывает бессмысленность.

Другие причины против, любое клиентское приложение будетПосмотрите на HTTP-запросы и ответы или ввод пароля (все еще можно использовать оба), промежуточные атаки будут смотреть на пакеты HTTP / TCP, а атаки методом грубой силы будут по-прежнему грубой силой (хотя для этого они будут использовать «логин» длясайт, а не ssh, открывать порты или пытаться использовать известные эксплойты мне не под силу.

Надеюсь, это поможет

Answer 2

Обычно это попытка избежать автоматического сканирования пауков на страницах входа в систему, которые они могли бы переборать. Является ли это эффективным или нет, сомнительно; но в любом случае, если вы думаете, что это делает код более сложным, чем должно быть, то, вероятно, его там быть не должно.

Answer 3

Это, вероятно, используется для предотвращения атак на многие компьютеры, т.е. не грубой силой, которая пытается получить доступ к вашему веб-сайту, но атакует, которая пытается получить доступ к любому веб-сайту в диапазоне IP-адресов.

Я часто вижу в журналах сервера атаки, пытающиеся использовать старые ошибки phpMyAdmin или другие часто используемые службы, даже если у меня нет phpMyAdmin на моем веб-сайте. Это очень похоже.

Answer 4

Безопасность от Obscurity - это не вид безопасности !
Я мог бы просто найти поля ввода и предположить, что первым было логин, а вторым type="password"пароль в форме независимо от их имени.Это не остановит никого, даже передавая знания HTML и Javascript.Простая программа на Python, использующая Beautiful Soup и 10 минут, обойдёт эту «безопасность» практически для любого, кто захочет.Барьер для входа в Python, HTML и Javascript чрезвычайно низок.

Если кто-то думает иначе, ему не приходилось сталкиваться с необходимостью исправления систем, которые были взломаны снова и снова из-за «умной» «безопасности».«потому что эти плохие предположения о том, что« оно того не стоит », если есть деньги, даже небольшие суммы денег, это будет стоить того для кого-то в мире, у которого есть свободное время и нет другого дохода.И это даже не начинает охватывать худшую проблему, которая часто сводится к деградирующим «мошенникам-сценаристам», которые взламывают вещи, просто чтобы их взломать и вызвать хаос ради забавы.

Answer 5

Единственное преимущество, которое я могу придумать, это то, что со всеми легко эксплуатируемыми сайтами злоумышленники, вероятно, даже не будут беспокоиться о вашем, если это займет даже минимальные усилия. Я не уверен, полезно ли это, если эти вещи не изменяются автоматически, хотя (так как вы вряд ли измените их вручную очень часто).

С другой стороны, если ваши пароли уязвимы для атаки по словарю, маловероятно, что кто-нибудь когда-нибудь их так сломает.