Je viens de publier un nouveau plugin: No More Passwords
Je l'ai actuellement bêta car la connexion à une plate-forme est un problème sensible et je ne veux pas publier quelque chose qui pourrait comporter des failles de sécurité. Voici donc ma requête:
Est-ce sécurisé?
J'ai fait ce qui suit pour assurer la sécurité:
- Le nom d'utilisateur / mot de passe ne sont jamais transmis d'avant en arrière, uniquement le hachage unique.
- Le hachage est supprimé de la base de données une fois qu'il est utilisé, les anciens hachages qui n'ont pas été utilisés ne peuvent l'être que si la base de données est piratée, mais vous rencontrez des problèmes plus importants.
- Toutes les requêtes de base de données sur le hachage ont été échappées pour empêcher les attaques XSS.
- nonce ajouté à l'appel ajax.
- nonce et confirmation ajoutés à l'extrémité mobile pour empêcher l'attaque CSRF.
Ici, j'ai une description complète de son fonctionnement .
Version suivante J'espère implémenter oauth via twitter, car iOS fonctionne maintenant en ...
Merci d'avance pour votre contribution.
Edit: j'ai décidé qu'en tant que couche ajoutée, j'ajouterais une vérification de sessionID pour m'assurer que c'est le même navigateur qui se connecte que le navigateur qui a initié la connexion par code QR.