форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы WEB технологии (Public)
Изначальное сообщение		[Проследить за развитием треда]

"безопасна ли аутентификация"

Сообщение от mishgan (ok) on 13-Мрт-07, 16:24

Использую такую аутентификацию. Если пароль и логин равны сохранненым то PHP создает сессию и регистрирует переменную ну например session_register("user"); А в файлах к которым нужно закрыть доступ пишем if (isset($user)){exit;} session_start(); if (isset($user)){echo "добро пожаловать";} Возник вопрос безопасна ли такая аутентификация ? если да то как обезопасится?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "безопасна ли аутентификация"

Сообщение от PS (??) on 15-Мрт-07, 15:01

>Использую такую аутентификацию. >Если пароль и логин равны сохранненым то PHP создает сессию и регистрирует >переменную ну например session_register("user"); >А в файлах к которым нужно закрыть доступ пишем >if (isset($user)){exit;} >session_start(); >if (isset($user)){echo "добро пожаловать";} >Возник вопрос безопасна ли такая аутентификация ? если да то как обезопасится? > Я в этом не силён, но у нас на работе в одной из систем пароли не хранятся в явном виде а являются ключом шифрования некоей строки (например одна для всех пользователей). В базе хранятся сочетания Логин - шифрованная строка. Если пользователь смог расшифровать строку своим паролем, то он прошёл проверку и т.д.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "безопасна ли аутентификация"
	Сообщение от mishgan (??) on 19-Мрт-07, 11:26
	>Я в этом не силён, но у нас на работе в одной >из систем пароли не хранятся в явном виде а являются ключом >шифрования некоей строки (например одна для всех пользователей). В базе хранятся >сочетания Логин - шифрованная строка. Если пользователь смог расшифровать строку своим >паролем, то он прошёл проверку и т.д. Ну и у меня они хранятся в неявном виде а в виде md5 хешей. Но вопрос то в другом.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "безопасна ли аутентификация"

Сообщение от KobaLTD on 19-Мрт-07, 17:12

>Использую такую аутентификацию. >Если пароль и логин равны сохранненым то PHP создает сессию и регистрирует >переменную ну например session_register("user"); >А в файлах к которым нужно закрыть доступ пишем >if (isset($user)){exit;} >session_start(); >if (isset($user)){echo "добро пожаловать";} >Возник вопрос безопасна ли такая аутентификация ? если да то как обезопасится? > Это завит о какой безопастности ты говоришь 1)использование/перехват пароля трейтими лица 2) что бы пользователь не смог обойти свои ограничения 3) еще что то. И вообще проблема "Безовастной авторизации" это большая проблема. И есть много способов ее решения. А какой выбирать зависит от того для каких целей тебе это надо. Безопастность сильно зависит от того как реализованна проверка пароля и пользователя. А не как его хранить, как обрабатываються куки или скрытые поля если у тебя "сквозная авторизация". Ты щас показал как сделать отбор на какое то действие, а вся безопастность завит не от этих операций, а от тех которые в итоге дают статус "прошол проверку или нет" :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]