Форум уже щедроты безопасности, которые платят почти так же, как Google / Facebook делает для своих щедрот безопасности:



Одной из проблем являются уязвимость веб-приложения не единственным способом, которым мы можем быть взломаны. В этом случае хакер используется социальной инженерии, не было уязвимостей в программном обеспечении форума, на самом деле хакер, вероятно, имели небольшие технические навыки на всех, они просто необходимы, чтобы убедить хостинговой компании они были theymos и хостинговой компании впустить их. там на самом деле не много мы можем сделать о нападениях, как это, есть тысячи способов исполнения атак социальной инженерии против форума, это, конечно, хорошая идея, чтобы проверить, что информация хост требует, чтобы сбросить настройки учетной записи , и это также будет хорошей идеей, чтобы сообщить хост может быть социотехники, но я имею в виду, я могу думать миллион других способов это может быть сделано, и я не могу думать о многих способах их предотвращения. Что нам действительно нужно, это более многоуровневый подход, например, если бы мы имели PM шифрование на JavaScript на стороне, то мы могли бы сохранить только РМ полностью зашифрованы на сервере и предотвратить даже против корневой атакующим от захвата их. Форум уже хранятся пароли в безопасном режиме. Честно говоря, единственное, что мы должны защищать это РМ, адреса электронной почты и пароли / вопросы безопасности.

Кроме того, я настоятельно рекомендовал бы функция восстановления аккаунта будет изменен. Я думаю, что он должен требовать как письмо восстановления и ответ на секретный вопрос, в настоящее время она требует только один из них. Я думаю, что это позволит значительно уменьшить количество взломанных счетов.