היי, יש כמה ענייני אבטחה באתר ששמתי לב אליהם שכדאי לתקן כיוון שהן חולשות אבטחתיות (אני לא מגלה פה סודות גדולים, כל פורץ יזהה זאת בקלות):
1. כאשר משתמש מזין סיסמא שגויה או שם משתמש שגוי - אין לספר לו מה הנתון השגוי שהוא סיפק (פשוט לומר לו שהסיסמא או שם המשתמש שגוי).
2. שמות המשתמש בפורום כפי שמפורסמים, הינם גם ה UserName להתחברות. יש להמנע ממצב כזה... (לדוגמא לקבוע שהאי מייל הוא ה UserName וכל אחד יבחר כינוי).
3. כאשר משתמש טועה מספר פעמים בהקשת הסיסמא, מופיעה הודעה שכעת יהיה עליו להמתין, אך ניתן לעקוף זאת ע"י כניסה למערכת ויציאה מיידית.
דברים לפורצים קצת יותר מתקדמים (דרך ההתמודדות היא SSL):
4. שום נתון אינו מוצפן כך שע"י וירוס שמאזין ניתן יהיה לגנוב סיסמא.
5. בהעדר SSL, גניבת עוגיה תאפשר גם את גניבת ה Session (ע"י סוס טרויאני).
