Если отслеживается трафик людей, хакер, вероятно, также получит токен.Но это звучит как отличный план.Я бы попробовал добавить honeypot.Попробуйте замаскировать токен как что-то еще, так что это не очевидно.Если это сработало, отправьте плохого пользователя в honeypot, чтобы он не знал, что его получили.
Моя философия безопасности проста и лучше всего проиллюстрирована историей.
Двое мужчин идут по лесу.Они видят медведя, волнуются и начинают бежать.Когда медведь догоняет их и получает одного из них, говорит другому: «мы никогда не опередим этого медведя».другой парень отвечает: «Мне не нужно опережать медведя, мне нужно только опередить вас!»
Все, что вы можете добавить на свой сайт, чтобы сделать его более безопасным, тем лучше вы будете.Используйте фреймворк, проверьте все входные данные (в том числе все в любом публичном методе), и все должно быть в порядке.
Если вы храните конфиденциальные данные, я бы настроил второй сервер sql без доступа к Интернету.Ваш внутренний сервер должен постоянно получать доступ к вашему внешнему серверу, извлекать и заменять конфиденциальные данные поддельными данными.Если ваш интерфейсный сервер нуждается в этих конфиденциальных данных, что, вероятно, использует специальный метод, который использует другого пользователя базы данных (у которого есть доступ), чтобы получить его с внутреннего сервера.Кто-то должен был бы полностью владеть вашей машиной, чтобы понять это ... и все равно потребуется достаточно времени, чтобы вы смогли выдернуть вилку.Скорее всего, они извлекут все ваши данные, прежде чем поймут, что они фальшивые ... ха-ха.
Хотелось бы, чтобы у меня было хорошее решение о том, как лучше защитить ваших клиентов, чтобы избежать КСО.Но то, что у вас есть, выглядит довольно хорошим сдерживающим фактором.