Armageddance
Новичок
Не уверен, что правильно подобрал ветку для топика, но более подходящей не увидел.
Разрабатываю интрасайт (сайт внутреннего пользователя организации). Сейчас продумываю механизм безопасности работы в системе, прежде всего, авторизации.
Решил писать с нуля, а не писать по готовым рецептам.
Прежде всего, заведена отдельная таблица, где фиксируются ip адреса и логины/пароли всех пользователей, которые удачно либо неудачно пытаются залогиниться. С целью ведения статистической информации на будущее.
Далее, авторизация возможна только для определенных маск разрешенных ip адресов, все остальные адреса заблокированы. Авторизация происходит методом сравнения md5 паролей, введенного и из базы. В случае трех неудачных попыток залогиниться происходит блокирование ip адреса на 15 минут.
Доступ к логинам сотрудников и таблицам ip-адресов имеет лишь старший администратор.
Какие еще можете дать рекомендации по улучшению механизма безопасности?
Разрабатываю интрасайт (сайт внутреннего пользователя организации). Сейчас продумываю механизм безопасности работы в системе, прежде всего, авторизации.
Решил писать с нуля, а не писать по готовым рецептам.
Прежде всего, заведена отдельная таблица, где фиксируются ip адреса и логины/пароли всех пользователей, которые удачно либо неудачно пытаются залогиниться. С целью ведения статистической информации на будущее.
Далее, авторизация возможна только для определенных маск разрешенных ip адресов, все остальные адреса заблокированы. Авторизация происходит методом сравнения md5 паролей, введенного и из базы. В случае трех неудачных попыток залогиниться происходит блокирование ip адреса на 15 минут.
Доступ к логинам сотрудников и таблицам ip-адресов имеет лишь старший администратор.
Какие еще можете дать рекомендации по улучшению механизма безопасности?