web-dev-qa-db-ja.com

例外をキャプチャして、ハッカーにニースエラーページを表示する必要がありますか?

ハッカーがハッキングしようとしている場合、一般的な/暗号化されたエラーではなく、かなりのエラーページを表示するか、どこかにリダイレクトする必要がありますか?ハッカーは彼らが何をしているかを知っていると私は感じています、彼らが何をしているかを知っています、彼らはそれをすることになっているわけではありません。/users/loginでパスワードを解読しようとする負荷が高かったため、ハッカーでした。

11
Chloe

ここで考慮すべきユーザーベースがいくつかあります。

  • なんらかのスクリプトインジェクションを実行したり、サイトに悪意のあるJavaScriptを実行させたりして、本当にサイトをハッキングしようとしているハッカー

  • フォームに何が入るかわからない、または検索クエリを入力してデータを取得するために使用していた古いシステムから移行したばかりで、提供されているフィルターを使用してコンテンツを取得できることを知らない、無知な初心者。自分の行動を知っているが否定的な意味合いを知らないユーザーも、このグループのより広いバージョンに分類されます。

最初のグループに向かって積極的になるというあなたの目的は理解できますが、私があなたの2番目のグループが不注意な過ちや、この過ちを引き起こした知識の欠如の結果に苦しむことはないと思います。

簡単に例えると、Windowsでシステムファイルを誤って削除した人が、意図的にシステムファイルをフォーマットしただけの人ではなく、偶然に削除してしまった場合を考えてみます。どちらも同じエラーメッセージを受け取る

enter image description here

これは、偶然に最初のユーザーに何も伝えず、不可解なエラーページをユーザーに提供することで、ユーザーをさらに混乱させます。

確認できるが役立つメッセージを使用して、Googleが疑わしいウイルス活動をどのように処理するかを確認してください

enter image description here

同様に、自動結果を誤ってGoogleに送信していたサーバーをgoogleがどのように処理するかを示す別の例を次に示します(注意。ユーザーはそれを認識していなかったため、ユーザーはユーザーグループに彼が間違いを犯していたことを認識してください)。

記事を引用

通常、FireFoxでGoogle検索を実行して、SEOQuakeが提供する詳細情報を表示することはありません。それでも、今日、私はMS-Accessで発生している問題のいくつかの潜在的な答えを探していました。MS-Accessがデータベースをクラッシュさせ、お気に入りのSeaMonkeyの代わりにFireFoxでそれらを実行しました。

テストをしていると、下の図に示すようなスクリーンショットが突然表示されました。私がGoogleに自動リクエストを送信しているようには感じられませんでしたが、SEOQuakeツールバーはすべての結果を送信します。つまり、検索するたびに、「私」は少なくとも11のリクエストをGoogleに送信します。毎回ほぼ同じ語句で3〜4回検索すると、2〜3秒で40を超えるリクエストになります。

この画面が表示されたのはこれが初めてです。このような集中的な検索を行うたびに、SEOQuakeバーをオフにすることを考える必要があります。

enter image description here

17
Mervin

ユーザーがハッキングしていることを確信している場合は、Javascript alert()を提供します。それは彼に値する悪いUXです! (または、リック・アストリーの曲に彼をリダイレクトします。)

有効なユーザーがミスを犯した可能性がある場合は、彼を正しい軌道に戻すのに役立つメッセージを提供する必要があります。 "HTMLマークアップを含む文字列は受け付けません"のようなもの。

不便を遅くしたい場合ハッカーは、彼に考えさせる彼が進歩していること。彼に spamtrap または honeypot のようなものを与えて、彼の時間を無駄にします。

ハッカーを阻止する古典的な方法は、単純に彼の応答を遅らせることです。 (間違ったパスワードを入力すると、多くのシステムがこれを実行し、ブルートフォース攻撃を非現実的にする可能性があります。)各失敗応答を受け取るまでにますます長い遅延を経験させると、彼はあきらめるかタイムアウトします。有効なユーザーは、パスワードを覚えようとする間、多少の遅延を許容します。

6
joeytwiddle

ハッカーは、優れたUXに値するわけではなく、悪いUXに値するか、UXに値しません。したがって、セキュリティを向上させることができない限り、これに時間を無駄にしないでください。

3
Chairman Meow