Или я ошибаюсь насчет надежности капчи с помощью canvas'а
Нет никакой проблемы сохранять картинку каптчи и отправлять в сервисы для разгадывания. Там сидят индусы и разгадывают что угодно за пару тысячных цента)
Вопрос в том надо ли будет ваш сервис так мучать.
Все популярные каптчи, в том числе рекаптча/невидимая рекаптча/рекаптча 2.0 и всё подобное уже давно разгадывается, причем довольно топорно с минимальными затратами, без всяких эмуляций браузера и т.д..
Gene Hagmt, ну примерно так и работает у всех более менее серьезных сервисов.
"это вы зашли из необычного места?" и все возможные вариации исходя из этого.
Зависит от того насколько критичен "взлом" в данном сервисе.
В целом ограничивать вход можно вплоть до определенных IP или подсетей, чтобы даже зная пароль левые чуваки не смогли зайти. Или даже сотрудники из дома.
Gene Hagmt, если в разрезе одного сайт и при блокировке юзеров из-за неправильных паролей рассматривать, то можно немного модифицировать схему.
Берем один пароль и проверяем его на большом списке логинов.
Т.е. схема такая же, только под другим углом, но здесь уже страшны блокировки IP, зато пофиг на блокировку отдельных юзеров(а если она временная, то тем более пофиг).
если пусть даже с большим временным промежутком между попытками входа они засчитываются как безуспешные и в итоге блокируют пользователя с данным идентификатором?
Если бы все так делали, в большинстве случаев ограничивают вход на 5-10-60 минут для юзера, а чаще даже для ip.
Вот это и обходится таким брутом. А между попытками при этом будет проходить намного большее время.
К тому же такой брут и владельцы сайтов не смогут толком заметить, в отличии от варианта если начать какой-то сайт шатай сотнями запросов, а сайт стоит на шареде за 50 рублей.
Естественно это актуально когда реально большая куча сайтов проверяется, например базу сайтов на WordPress взяли где пара сотен тысяч доменов и пошли проверять.
p19e0n, на сервере это уже другая история и никакого ифрейма не будет, проксировать через свой сервер и отдавать какой-то измененный код. Но надо учесть много всего если нужно отобразить именно оригинальную страницу как она есть чтоб стили не сломались и т.д.
Стоит ли изучать и использовать Laravel или правильнее и проще будет написать свои классы для сущностей и для репозиториев и для роутинга и для всего остального?
Александр Бабий, ну так если у вас с гитхаба последняя, то откуда там древняя дыра? Сканер который показывает в txt файле RCE уязвимость наверно не очень умный.
Другого кода нет на сайте?
у вас же там вротпресс стоит, конечно туда назаливают всякого разного...
dk-web, там будут ровно те данные которые вы используете на фронте, и при этом у текущего конкретного пользователя(если авторизация используется). Так что если у вас там вылезли какие-то чувствительные данные, то их у вас и фронт без SSR будет знать.
Роман, это никак не делает из nuxt бекенд. По прежнему nuxt максимум в качестве прокси между апи и фронтом стоит. Может что-то немного подправить в процессе запросов. Middleware это не способ реализации бекендовости уж точно.
Нет никакой проблемы сохранять картинку каптчи и отправлять в сервисы для разгадывания. Там сидят индусы и разгадывают что угодно за пару тысячных цента)
Вопрос в том надо ли будет ваш сервис так мучать.
Все популярные каптчи, в том числе рекаптча/невидимая рекаптча/рекаптча 2.0 и всё подобное уже давно разгадывается, причем довольно топорно с минимальными затратами, без всяких эмуляций браузера и т.д..