Antwort #5 am: 24. Juli 2010, 08:55:27
Die Admin Login E-Mailadresse muss mit der Shop E-Mailadresse nicht übereinstimmen!
Vielleicht sollte man darauf hinweisen, dafür eine sicherere E-Mailadresse zu verwenden, z.B. in nach diesem Muster: vdfgdhhez@meinshop.de
Ein sicheres Kennwort sollte selbstverständlich sein!
Gruss Web28
Hallo zusammen,
da ich mir auch gerne Gedanken über Sicherheit mache
und die Tage 'nen modified eCommerce Shopsoftware aktiviert habe, folgende Anmerkungen:
Richtig ist natürlich, dass die Verwendung einer anderen Email-Adresse,
die Wahrscheinlichkeit, dass Brute-Force Erfolg hat, reduziert.
Dennoch gibt es einige einfache Methoden das Risiko deutlich weiter
zu reduzieren:
- Nach Fehlversuchen beim Einloggen einen sleep(10-20); einbauen.
Dann kann der nächste Versuch erst nach Verzögerung erfolgen.
Idealerweise noch 'ne E-Mail an den Admin mit der IP-Adresse des Fehlversuchs.
Dann kann man die IP bei zu vielen Versuchen sperren. - Anmeldeverfahren wie im http://www.self-commerce.de/
Hier werden erfolglose Anmeldungen in Kombination mit IP usw. mitgezählt.
Ab dem x-ten Fehlversuch kann Anmeldung nur noch mit Captcha erfolgen.
Das sind 2 sehr einfache und wirkungsvolle Wege gegen automatisierte Angriffe.
Wie gemailt: Den ersten habe ich mir schon eingebaut.
Zumindestens eine der Varianten wäre aus meiner Sicht zur Steigerung der Sicherheit
- davon kann es nie genug geben - auch im modified eCommerce Shopsoftware sehr wünschenswert.
Ansonsten, wie hoffentlich häufig geäussert:
Respekt und vielen Dank für den gelungenen Shop
Lutz