Должен ли я захватывать исключения и предлагать хорошую страницу ошибок хакерам? [закрыто]

Если хакер пытается взломать, должен ли я представить симпатичную страницу ошибок или перенаправить где-нибудь вместо общей /критической ошибки? Я чувствую, что хакер знает, что они делают, я знаю, что они делают, они не должны этого делать, поэтому у меня нет реального стимула приложить усилия к их опыту. Это был хакер, потому что была высокая загрузка попытки взлома паролей в /users /login.

11 голосов | спросил Chloe 23 FebruaryEurope/MoscowbSun, 23 Feb 2014 23:58:37 +0400000000pmSun, 23 Feb 2014 23:58:37 +040014 2014, 23:58:37

3 ответа


17

Здесь есть несколько пользовательских баз.

  • Хакер, который действительно пытается взломать ваш сайт, выполняя какую-то инъекцию скрипта или пытаясь заставить ваш сайт запускать вредоносный JavaScript

  • Невероятный новичок, который не уверен, что входит в форму или просто перешел из старой системы, где он использовал для ввода поисковых запросов для извлечения данных, и не знает, что теперь он может просто получить контент, используя фильтры. Пользователь, который знает, что делает, но не знает о негативных коннотациях, также попадает в более широкую версию этой группы.

Хотя я понимаю, что ваша цель быть агрессивной по отношению к первой группе, я не думаю, что ваша вторая группа должна пострадать от последствий неосторожной ошибки или отсутствия знаний, которые заставили их совершить эту ошибку.

  

Чтобы провести простую аналогию, возьмите случай человека, который удаляет   системные файлы в Windows случайно противопоставляются тем, кто просто   форматирует файлы системы намеренно. Оба они получают одинаковые   сообщение об ошибке

     

введите описание изображения здесь>> </p>
  
  <p> Это не передает ничего первому пользователю, который сделал это случайно
  и предоставив ему загадочную страницу с ошибкой, которую вы просто собираетесь
  путайте его дальше. </p>
</blockquote>

<p> Узнайте, как Google обрабатывает подозрительную вирусную активность с помощью <strong> фирмы, но полезного сообщения </strong> </p>

<p> <img src = укажите статью

  

Обычно я не запускаю поиски Google в FireFox, чтобы увидеть некоторые   подробная информация, предоставленная компанией SEOQuake. Тем не менее, сегодня я был   поиск какого-либо потенциального ответа на проблему, с которой я сталкиваюсь   MS-Access, который разбивает базу данных и запускает их на FireFox вместо   мой любимый: SeaMonkey.

     

Когда я тестировал, я неожиданно получил скриншот, как показано в   ниже. Хотя мне не хотелось, чтобы я отправлял автоматический   запросы в Google, панель инструментов SEOQuake делает это по всем результатам!   Это означает, что каждый раз, когда я выполняю поиск, я посылаю по меньшей мере 11 запросов   Google. После 3 или 4 запросов с примерно одинаковыми терминами каждый   это более 40 запросов в течение 2 или 3 секунд.

     

Впервые я получил этот экран, мне придется подумать о том, чтобы   от панели SEOQuake всякий раз, когда я делаю интенсивные поиски, подобные этим.

     

введите описание изображения здесь>> </p>
</blockquote></body></html>

ответил Mervin Johnsingh 24 FebruaryEurope/MoscowbMon, 24 Feb 2014 00:27:59 +0400000000amMon, 24 Feb 2014 00:27:59 +040014 2014, 00:27:59
6

Если вы уверен , что пользователь взломал, дайте ему Javascript alert(). Это плохой UX, которого он заслуживает! (Альтернативно, перенаправить его на песню Рика Эстли.)

Если есть вероятность, что это был действительный пользователь , допустивший ошибку, тогда вы должны предоставить сообщение, которое поможет вернуть его на правильный путь. Что-то вроде «Извините, мы не принимаем строки, содержащие разметку HTML» .

Если вы хотите неудобство и замедлить хакера, заставьте его думать, что он добивается прогресса. Дайте ему что-то вроде spamtrap или honeypot , чтобы тратить свое время на.

  

Классический способ удержать хакера - просто задержать его   ответ . (Вы можете найти, что многие системы делают это, когда вы вводите   неправильный пароль, рендеринг грубых приступов непрактичен.) Если вы сделаете   он испытывает все более длительные задержки до того, как получит каждый   отказ от отказа, он либо откажется, либо перейдет в режим ожидания. Действительный пользователь   будут терпеть некоторую задержку, пока они напрягаются, чтобы запомнить свой пароль.

ответил joeytwiddle 24 FebruaryEurope/MoscowbMon, 24 Feb 2014 00:59:26 +0400000000amMon, 24 Feb 2014 00:59:26 +040014 2014, 00:59:26
3

Хакеры не заслуживают хорошего UX, они заслуживают плохого UX или без UX. Так что не тратьте время на это, если это не улучшит безопасность, которую я не вижу.

ответил Chairman Meow 24 FebruaryEurope/MoscowbMon, 24 Feb 2014 00:11:52 +0400000000amMon, 24 Feb 2014 00:11:52 +040014 2014, 00:11:52

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132