| Autor | Zpráva | ||
|---|---|---|---|
| jogurt Profil |
#1 · Zasláno: 25. 2. 2006, 15:55:24
Docela by mě zajímalo, jaký je nejbezpečnější způsob přihlašování na webu.. jestli přes cookies či db, sessions...
Asi je dobrý použít ssl ale to nemám k dispozici. j |
||
| fimmos Profil |
#2 · Zasláno: 25. 2. 2006, 16:13:23
Cookies není moc dobré řešení - vypnutí, zneužití
DB - nechápu jak Session - asi nejlepší |
||
| Tomik Profil |
#3 · Zasláno: 25. 2. 2006, 16:59:52
Souhlasím s fimmosem, ještě dodám, že sice lze podle nastavení php.ini používat SESSIONS i bez COOKIES (za všechny odkazy se doplní parametr SESID), ale vzhledem k tomu, že to není příliš bezpečné a tento parametr není přidáván k cestám formůlářů doporučuje se používat SESSIONS pouze s koláčky, tak ti kdo si je vyplnou mají smůlu...
|
||
| djlj Profil |
#4 · Zasláno: 25. 2. 2006, 17:23:42
Já myslím, že nejlepší je to ve spojení s databází...
|
||
| jogurt Profil |
#5 · Zasláno: 25. 2. 2006, 17:42:03
diky,
ja si taky myslim, ze nejbezpecnejsi je asi ta databaze, treba protoze tam to heslo vubec nejde k uzivateli, ale mozna je to horsi s proxi serverama nebo necim takovym, nevim presne jak to tam chodi, jestli ma kazdej jinou IP nebo vic lidi stejnou... fimmos: do db se ulozi IP a podle toho te to tam pusti j |
||
| llook Profil |
#6 · Zasláno: 25. 2. 2006, 18:37:46
do db se ulozi IP a podle toho te to tam pusti
Tak to nikdy nepoužívejte! Často je jedna veřejná IP adresa pro víc lidí - například ve školách, ve firmách, v domácnostech (my třeba máme doma čtyři počítače, ale jen jednu IPku). Často se IP adresy recyklují - uživatel se odpojí, adresu třeba dostane někdo jiný. Nejbezpečnější je přes sessions, s přegenerováním SID při každém požadavku. Na sdíleném hostingu je ale ještě problém se zabezpečením session samotných (chyba ve funkci glob dovoluje získat názvy souborů a tedy ukrást SID). Něco o tom psal Vrána, hledej na php.vrana.cz |
||
| djlj Profil |
#7 · Zasláno: 25. 2. 2006, 18:52:37
llook
Ale dá se to použít. Je jen třeba předávat ještě nějakou další hodnotu, nějaký náhodný kód (něco jako session). |
||
| jogurt Profil |
#8 · Zasláno: 26. 2. 2006, 20:02:08
diky, s tou IP v DB sem se splet, zapomnel sem rict este o tom, ze se tam predava nejake SID. takhle to je casto udelany.
j |
||
| mila Profil |
#9 · Zasláno: 26. 2. 2006, 20:22:36
Nevím co je nejbezpečnější, ale standartní je asi https protokol.
Jinak sessionid v adrese není asi moc dobré. Adresa se ukládá všude možně, od historie v prohlížeči po referer - občas kliknu ve statistikách svého webu, odkud lidé přišli, a vydím hlášku ve stylu: "Vaše přihlášení vypršelo." Tzn. kdybych tam kliknul dříve, tak jsem normálně přihlášen. Stačilo, aby někdo klikl na odkaz v emailu, který vedl na můj web. |
||
|
Časová prodleva: 18 let
|
|||
Toto téma je uzamčeno. Odpověď nelze zaslat.
0