Acaba de publicar un nuevo complemento: No más contraseñas
Actualmente lo tengo etiquetado como beta porque el inicio de sesión en una plataforma es un problema delicado y no quiero lanzar algo que pueda tener agujeros de seguridad. Así que aquí está mi consulta:
¿Es seguro?
He hecho lo siguiente para garantizar la seguridad:
- El nombre de usuario / contraseña nunca se pasa de un lado a otro, solo el único hash.
- El hash se elimina de la base de datos una vez que se usa, los hashes antiguos que no se ha utilizado no puede ser a menos que la base de datos sea hackeada, pero luego tienes problemas más grandes.
- Todas las consultas de la base de datos del hash se han escapado para evitar XSS los ataques.
- nonce agregado a la llamada ajax.
- se agregó la confirmación y la confirmación en el extremo móvil para evitar el ataque CSRF.
Aquí tengo una descripción completa de cómo funciona .
Próxima versión, espero implementar auth a través de twitter, ya que iOS ahora ha funcionado en ...
Gracias por tu aportación por adelantado.
Editar: decidí que, como una capa adicional, agregaría una verificación de ID de sesión para asegurarme de que es el mismo navegador que inició sesión en el navegador que inició el inicio de sesión del código QR.