Autor Zpráva
Prkny
Profil
Zdravím, rád bych se zeptal jak ne/bezpečné je přihlášení přes htacceess. Dá se na cestě zachytit jméno případně heslo ?

Principem by to mohlo fungovat tak, že se přihlásím přes htaccess, dostanu se na soubor zabezpečeného adresáře. Poté mohu ještě porovnat uživatele v mysql a pokud je vše ok, naplním nějakou session uživatelským jménem nebo mailem.

Na stránkách mohu již pouze porovnávat :
if ($_SESSION[auth] != ''){echo "pro přihlášeného";}
else {echo "pro všechny";}

Nebo bude toto řešení bezpečnější (http://php.vrana.cz/bezpecne-prihlasovani-uzivatelu.php)?
Radek9
Profil
Prkny:
Dá se na cestě zachytit jméno případně heslo ?
Pokud nepoužiješ šifrovaný přenos, tak ano. Stejně tak se dá ukrást session id.
peta
Profil
"naplním nějakou session uživatelským jménem nebo mailem"
Takze pro prihlaseni staci naplnit session, nemusim chodit slozite pres blokovany adresar? :) Prihlasim se na sebe, potom v session pomenim hodnoty na admina a muzu si delat, co chci jako admin?

U htaccess je hlavne neprijemne to odhlasovani. Kdyz mas treba pc terminal, tak chces, aby uzivatel nezaviral prohlizec. Jenze u IE, kdyz nezavres prohlizec, tak je neodhlasi z hta. U session staci pouzit session_destory nebo mozna jen unset, ale u hta to tak snadne neni.
DJ Miky
Profil
peta:
Prihlasim se na sebe, potom v session pomenim hodnoty na admina a muzu si delat, co chci jako admin?

Když je to podle tebe tak snadné, můžeš si třeba tady na diskusi v session „poměnit hodnoty na admina“ a dělat si, co chceš :-). Session ≠ cookie.
Prkny
Profil
Radek9:
Pokud nepoužiješ šifrovaný přenos, tak ano. Stejně tak se dá ukrást session id.
Jakým způsobem může útočník ukradnout session id, pokud ho už nikam přes odesílací formulář neposílám?

peta:
potom v session pomenim hodnoty na admina
Jak můžete poměnit hodnoty session. Hodnota toho session se měnit uživatelsky nedá, ta se automaticky naplní nebo nenaplní třeba user_name při přihlášení. V tomto případě plně souhlasím s DJ Miky.
Radek9
Profil
Prkny:
pokud ho už nikam přes odesílací formulář neposílám?
Session id se posílá buď pomocí get parametru, nebo pomocí cookie záznamů. Takové HTTP požadavky se dají normálně snifferovat a je možné z nich jednoduše vytáhnout potřebná data.
Prkny
Profil
Radek9:
Takové HTTP požadavky se dají normálně snifferovat
Dá se tomu nějak normálně v PHP bránit?
juriad
Profil
Prkny:
Ne. Musíš použít zabezpečení při přenostu (HTTPS).
Prkny
Profil
juriad:
Musíš použít zabezpečení při přenostu (HTTPS).

O certifikátech SSL jsem nevěděl. Pokud jsem pochopil správně SSL certifikáty, stačí nějaký objednat na netu, přehodit webovky na https a session budou bezpečné?

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: