不好意思，小弟又來了
最近在研究自己的專題
本身寫網頁也有3年了吧
實力普普，這個專題想做深入一點
也是一個網站
-
想請問 我的使用者登入
為增加使用者體驗
在密碼錯誤三次後才會要求輸入驗碼進行人機驗證
關於 "三次之後"這個步驟該怎麼做比較好?
我用session存錯誤次數
但使用者清除cookie之後就可以繞過...
想在資料庫存ip跟user agent的logs
但這兩個資料都可以偽造
到頭來還是防君子不防小人
請大家指教，謝謝!

可以了，專心達到功能就好沒有絕對安全，只有「夠安全」。就跟C語言初學者一樣，沒有「無限大陣列」，只有「夠大的陣列」。

很好奇偽造 IP，response 怎麼傳回去？

不會有永遠，只會有目前…不然大家直接用一個寫法就好啦

直接在資料表 user 加上 retry 次數和 expire time 呢？反正驗證帳密通常都要查 db ，查到 retry 次數三次以上加上還沒過期就再跳個驗證碼輸入框，多一個步驟也不過份然後密碼正確再把 retry 歸零就好了。查 db 是驗證帳密的時候查的，所以也沒浪費 db 查詢的時間。不過我的方法 retry 是綁在帳號上的，如果他一直試不同的帳號的話就不適用了。

這個很實用，設計帳密資料表一起把登入行為考慮進去。

感謝大家的建議！，我在考量效能跟使用性還有安全性再來想想要不要改

圖片驗證避不掉嗎？算個微積分XDDD

呵，微積分嗎？突然覺得不想登入了...

我一直很欣賞這種設計 http://i.imgur.com/T2akgu4.jpg不知道有沒有什麼潛在的問題

呵，會不會色盲會無法登入啊？

這是Joomla的留言板套件裡面送的，直接的問題有一個他會有6:2這種題目 不知為何畫不出÷也不用/讓人看不懂但是自己改寫一下應該就可以

有的國家確實是用 : 代表除http://en.wikipedia.org/wiki/Division_(mathematics)In some non-English-speaking cultures, "a divided by b"is written a : b.萊布尼茲似乎也是這個用法的愛用者÷號好像還有一個問題是有的時候它是減的意思http://zh.wikipedia.org/wiki/%E9%99%A4%E5%8F%B7所以應該不是因為畫不出來而是可能會有誤會的關係

畫個 / 不就沒事了