Napisał
Antybristler
Po ostatnim "incydencie" z rejestracjami mam kilka własnych propozycji dot. bezpieczeństwa w MFO3.
Pewnie w większości wszystkie formularze w MFO3 są sprzed 10 lat, mam nadzieję, że jednak tak nie jest, bo niebyłoby dobrze. Przez tyle lat powstało wiele nowych zagrożeń i należy bezwzględniej podchodzić do bezpieczeństwa.
1. Stosowania captcha, np. po określonej liczbie nieudanych logowań/rejestracji w ciągu godziny/dobry/IP.
2. Zwiększenie długości hasła - obecnie 6! znaków, powinno być przynajmniej 10.
3. Nie powinno być możliwości sprawdzenia, czy na konkretny adres email jest założone konto, obecnie można to sprawdzić w funkcji przypominania hasła. Po podaniu emaila powinien być komunikat w stylu "Jeśli istnieje konto powiązane z tym adresem, otrzymasz email"
4. Umożliwienie włączenia weryfikacji dwuetapowej - przez email/aplikacje typu authenticator - dla chętnych.
5. Generalnie warto zastosować wiele rozwiązań z FB/Google/banków, które się sprawdzają w formularzach.
6. MFO3 nie jest już tym samym co było 10 lat temu, jest więcej elementów w grze, updateów, więc i więcej zagrożeń i ataków na graczy, kradzieży itp.
7. Historia logowań (udane/nieudane) w panelu gracza, obecnie tego brak, każdy by mógł kontrolować co się dzieje z jego kontem.
8. Każda nieudana próba logowania mogłaby być raportowana na PW/email - dla chętnych.
9. Gracze z "TOP" np. TOP 20 każdego z rankingu mogliby być pod większym nadzorem bezpieczeństwa, więcej logów, więcej funkcji zabezpieczenia.
10. Oczywiście nie należy popadać w paranoję, by nie utrudniać życia przy rejestracji/logowaniu, jednak warto rozważyć te wszystkie kwestie. MFO3 choć jest coraz wyżej w rankingu to jeszcze nie jest bankiem, ale przed najbliższym update fabularnym musi się poprawić przynajmniej kilka kwestii wyżej opisanych.
Do admina: zachęcam wydrukować i dokonać analizy co można by zrobić, a co nie.
Dodatkowo linki do mfo3.pl mfo2.pl i my-fantasy.net na FB są nadal z bez HTTPS.