Currenty, 웹 사이트는 다음과 같은 잘못된 로그인 시도한다에 사용자에게 일반 메시지를 제공합니다. 그러나 전자 메일 주소가 이미 사용 된 경우 가입 양식이 사용자에게 경고하므로이 부분 만 읽으면 어딘가에 있습니다. 따라서 스팸 발송자는 로그인 양식이 아닌 등록 양식을 작성하여 유효한 전자 메일을 찾을 수 있습니다.웹 개발 전자 메일 보호
질문 : 어떻게 예방할 수 있습니까? 이 상황을 처리하는 좋은 방법이 있습니까?
brute forcing을 방지하는 아주 좋은 방법은 확인하기 전에 증가하는 지연을 추가하는 것입니다.
상당히 좋은 방법은 이메일을 촬영 암시 에러를 표시하기 전에, 1 초의 지연을 추가하고, 그 다음에 2- 배 초 후 4 다음, 사용자 (8) 등. 예를 들어 16 초에 최대 값을 내거나 10 초 동안 IP를 차단할 수 있습니다.
이렇게하면 실제 사용자는 1 초, 2 초 또는 4 초 지연 (많지 않음)을 얻지 만 bruteforcing은 너무 힘들어집니다.
그럼 나쁜 의도를 가진 진짜 사람들은 어떨까요? "입력 한 사용자 이름 또는 비밀번호가 유효하지 않습니다."또한 사람을 삭제하지만,이 방법을 사용하면 무언가를 강제로 할 수 없습니다. –
예,하지만 여전히 실제 사용자에게는 좋습니다. –
그냥 의견을 말하면, 그 모호한 경고는 보안을 추가 할 수 있지만 이미 등록했는지 기억할 수없는 사용자에게는 상당한 비용이 듭니다. –