Kuidas seadistada Steamis käivitusvalikuid

Enamik veebisaidi sisu on juurdepääsetav alles pärast sisselogimist. Kolmanda osapoole saidid (ja rakendused) pakuvad saidile alternatiivseid liideseid, edastades sisselogimisandmed ja kraapides sisu. Kuidas tagada, et kasutajad logiksid sisse ainult minu veebisaidilt ja rakendusest, mitte aga (või ainult konkreetsete kolmandate osapoolte) saitidelt? Eesmärk on kaitsta sisselogimist, mitte üldiselt takistada kraapimist.

Juurdepääsu blokeerimine IP-ga ei toimi, kolmandate osapoolte saidid kasutavad juurdepääsu saamiseks IP-sid. Samuti ei tahaks ma kasutada captchat, kuna see on kasutajatele tüütu (ja võib ka seda edasi anda?)

  • Captchad võivad olla tüütud, kuigi seda tasub uuesti vaadata, kuna Google'i kaasaegne recaptcha võib väga sageli pakkuda kinnitust ilma sisendita või ainult linnukese abil. Samuti ei tee see tõenäoliselt kasutajate elu lihtsamaks, kuid ka 2FA võiks aidata (vähemalt sündikaadi nurjamiseks)
  • Peale: "Kolmanda osapoole saidid kasutavad juurdepääsuks muutuvaid IP-sid" - arvatavasti peate silmas kasutajaid, kes teie saidile sisse logivad? Õiguspärasel kolmanda osapoole saidil peaks olema mõistlikult staatiline IP-aadress. (?)
  • Tänan teid ettepanekute eest. Õigustatud kolmanda osapoole saidid kasutavad kas staatilist IP-d või salajast võtit. Loen veebis 2FA üles, kuid seni ei tundu see eriti kasutajasõbralik ja ei takista autentimist edasi andmast
  • Ma ei tea, kas saidi laadimiseks JavaScripti nõudmine (võib-olla AJAX-i kasutamine) tekitaks enamikus neist skreeperitest pettumuse. Kahtlemata oleks see võimalik, kuid võite tõenäoliselt kasutada ka javascripti täiendavate andmete kogumiseks, mis aitavad teil välja töötada, kui selle jäljendamine - näiteks panopticlickis kuvatud mõnede markerite kasutamine võib aidata teil JavaScripti emulaatori // kaabitsa tõhusalt sõrmejälgi jäljendada blokeerimise hõlbustamiseks.

On ebaselge, kuidas teie sisselogimisprotseduur praegu töötab, kuid see on katki ja vajab parandamist - eriti kui - nagu vihjatakse - edastab see igal lehel kliendi ja serveri vahel sisselogimise ja parooli edasi-tagasi.

Sisselogimiste tavapärane käitlemisviis on sisselogimine ja seejärel küpsise seadistamine, mille kasutaja edastab edasi-tagasi - sel viisil teab server pärast sisselogimist, kes on kasutaja, mitu korda mandaate saatmata. Enamikul veebiprogrammeerimiseks kasutatavatest programmeerimiskeeltest on seansi kontseptsioon - mis teeb seda teie jaoks. Seanss on eriti kasulik, kuna see suudab meelde jätta lehevaatamiste vahelised seaded / muutujad, pakkudes nii hõlpsat ja mugavat viisi kasutaja eelistuste käsitlemiseks. Väljalogimine muutub sama lihtsaks kui seansi hävitamine. Kuna seda tehakse küpsiste abil, saab seda hõlpsasti seada, et takistada kolmandate osapoolte osalemist sisselogimisprotsessis Kolmandate osapoolte sisselogimiste toetamiseks peate nende osapooltega rakendama midagi sellist nagu SSO (ühekordne sisselogimine) või samaväärne.

See ei ole soovitus, kuna see pole parim tava - kuid kui te ei soovi praeguseid mehhanisme muuta, nagu teise mehhanismi kohal, võite kasutada seda, et enne muude lehtede kuvamist kontrollige sisselogimislehel REFERER päist - mis võimaldab teil veendumaks, et teie saidil on sisselogimine lõpule viidud. See aga takistaks kasutajaid sisse logimast, seejärel uut vahelehte / akent avamast ja selles aknas teie saiti sirvimast - nad peaksid uuesti sisse logima.

Tema teine ​​halb viis seda teha - mis masendab üldisi kaabitsaid, kuid pole täiskindel - on luua sisse logitud kasutajatega seotud IP-aadresside tabel ja keelata juurdepääs teistelt IP-aadressidelt pärinevatele päringutele kuni sisselogimiseni. NAT tähendab, et see ei ole kindel lahendus, kuid seda saab valikuliselt kasutada organisatsiooni sisselogimisvaba juurdepääsu pakkumiseks staatilise IP kohta lisaks ülaltoodud küpsise / seansi mehhanismile.

  • Teie soovitused on head, et takistada kolmandate osapoolte saitide sisselogimist. Need töötavad brauseris, mis hoiab mõnda saididevahelist juhtimist. Sisselogitav rakendus on täiesti erinev lugu. Rakendused saavad juhtida oma viitajaid, küpsiseid ja kõike muud, mida saate oma saidil teha.
  • Tänan vastuste eest. Kasutatakse seansiküpsiseid, kuid kolmandate osapoolte saidid toimivad keskel olevana, nad edastavad sisselogimise ja parooli, salvestavad seansiküpsise ja kasutavad seda hiljem nagu iga brauser. Sellisena võivad nad võltsida ka viite päise. See on avalik sait, mistõttu pole kasutajate piiramine teatud IP-dega teostatav.

none: Charles Robertson | none