Víceúrovňové zabezpečení systému (c) Oldřich Šálek
Jedná se o prakticky o používání různých hesel pro různé činnosti. Dám příklad. Útočník se bude chtít dostat do mého administračního rozhraní. Už jenom to, že na něj nevede žádný odkaz z webu, neví kde mám administraci umístěnou. Zkusí tedy klasické /admin/ či /administrace Vyskočí mu login okno (ochrana heslem přes htaccess a zkouší hesla. Zkoušet je může jak dlouho chce, je to FAKE 8-) Tím se odradí spousty lamerů co "hackují" bruteforce metodou.
Jistě ho to baví. Pravý LOGIN je pod strašně složitou adresou. Kdyby na ní někdo náhodou přišel (login ve škole), vyskočí opět .htaccess okno, které si žádá heslo. Když by to heslo náhodou někod uhodl, což se nestane, vyskočí druhý login tentokrát přes php session, kde je omezený počet pokusů. Pak blogace IP. Heslo i jméno je samozřejmě jinačí, než v případě .htaccess
Pojďme si to tedy shrnout znova, útočník musí: