Autor | Zpráva | ||
---|---|---|---|
Prkny Profil |
#1 · Zasláno: 20. 1. 2014, 13:12:35
Zdravím, rád bych se zeptal jak ne/bezpečné je přihlášení přes htacceess. Dá se na cestě zachytit jméno případně heslo ?
Principem by to mohlo fungovat tak, že se přihlásím přes htaccess, dostanu se na soubor zabezpečeného adresáře. Poté mohu ještě porovnat uživatele v mysql a pokud je vše ok, naplním nějakou session uživatelským jménem nebo mailem. Na stránkách mohu již pouze porovnávat : if ($_SESSION[auth] != ''){echo "pro přihlášeného";} else {echo "pro všechny";} Nebo bude toto řešení bezpečnější (http://php.vrana.cz/bezpecne-prihlasovani-uzivatelu.php)? |
||
Radek9 Profil |
#2 · Zasláno: 20. 1. 2014, 13:44:17
Prkny:
„Dá se na cestě zachytit jméno případně heslo ?“ Pokud nepoužiješ šifrovaný přenos, tak ano. Stejně tak se dá ukrást session id. |
||
peta Profil |
#3 · Zasláno: 20. 1. 2014, 15:06:29
"naplním nějakou session uživatelským jménem nebo mailem"
Takze pro prihlaseni staci naplnit session, nemusim chodit slozite pres blokovany adresar? :) Prihlasim se na sebe, potom v session pomenim hodnoty na admina a muzu si delat, co chci jako admin? U htaccess je hlavne neprijemne to odhlasovani. Kdyz mas treba pc terminal, tak chces, aby uzivatel nezaviral prohlizec. Jenze u IE, kdyz nezavres prohlizec, tak je neodhlasi z hta. U session staci pouzit session_destory nebo mozna jen unset, ale u hta to tak snadne neni. |
||
DJ Miky Profil |
#4 · Zasláno: 20. 1. 2014, 15:51:58
peta:
„Prihlasim se na sebe, potom v session pomenim hodnoty na admina a muzu si delat, co chci jako admin?“ Když je to podle tebe tak snadné, můžeš si třeba tady na diskusi v session „poměnit hodnoty na admina“ a dělat si, co chceš :-). Session ≠ cookie. |
||
Prkny Profil |
#5 · Zasláno: 20. 1. 2014, 16:18:03
Radek9:
„Pokud nepoužiješ šifrovaný přenos, tak ano. Stejně tak se dá ukrást session id.“ Jakým způsobem může útočník ukradnout session id, pokud ho už nikam přes odesílací formulář neposílám? peta: „potom v session pomenim hodnoty na admina“ Jak můžete poměnit hodnoty session. Hodnota toho session se měnit uživatelsky nedá, ta se automaticky naplní nebo nenaplní třeba user_name při přihlášení. V tomto případě plně souhlasím s DJ Miky. |
||
Radek9 Profil |
Prkny:
„pokud ho už nikam přes odesílací formulář neposílám?“ Session id se posílá buď pomocí get parametru, nebo pomocí cookie záznamů. Takové HTTP požadavky se dají normálně snifferovat a je možné z nich jednoduše vytáhnout potřebná data. |
||
Prkny Profil |
#7 · Zasláno: 20. 1. 2014, 18:51:12
Radek9:
„Takové HTTP požadavky se dají normálně snifferovat“ Dá se tomu nějak normálně v PHP bránit? |
||
juriad Profil |
#8 · Zasláno: 20. 1. 2014, 18:52:03
Prkny:
Ne. Musíš použít zabezpečení při přenostu (HTTPS). |
||
Prkny Profil |
#9 · Zasláno: 21. 1. 2014, 08:37:21
juriad:
„Musíš použít zabezpečení při přenostu (HTTPS).“ O certifikátech SSL jsem nevěděl. Pokud jsem pochopil správně SSL certifikáty, stačí nějaký objednat na netu, přehodit webovky na https a session budou bezpečné? |
||
Časová prodleva: 11 let
|
0