Autor Zpráva
nicolas
Profil *
Potřeboval bych poradit v několika věcech ohledně bezpečnosti www stránek, jsem začátečník.

SSL - jaké data se mají šifrovat pomocí přenosu ssl? Na stránkách mám formuláře kterýma posílám data nějaké stránce, která je kontroluje podle reg. výrazů a pokud jsou ok, jde příkaz zapiš do DB v mysql.

SSL - mohu si udělat vlastní klíče a ten používat pro všechny přihlášené na stránce, aniž bych potřeboval CA ? Jde udělat v php vytvoření klíče pro ssl aby byla jeho platnost třeba 30 minut pro spojení a pak by zanikl, aby zajistil jen prenos dat a přihlášení. Pak by zanikl a při dalším přihlášení by se nahrál další klič zase na 30 minut.

Stačí použít ssl jen pro přihlášení do sys (www)?

Mám stránky v adresáři c:phpwww, když dám https tak mě se načítají z htdocs, jak udělat aby to šlo načíst z toho phpwww?

Odkazy, když mám na stránce a <href="index.php?action=vtopic&id_neco=$test&id_uzivate=$forum">

odkazem předám stránce id která je zpracuje a zadá do selectu (popřípadě zapíše do db), je bezpečné že uživatel vidí tyto id a take že se ukáží v liště kde je adresa.

Děkuji předem za vaše rady.
DoubleThink
Profil *
SSL - jaké data se mají šifrovat pomocí přenosu ssl? Na stránkách mám formuláře kterýma posílám data nějaké stránce, která je kontroluje podle reg. výrazů a pokud jsou ok, jde příkaz zapiš do DB v mysql.

Data, u kterých chceš zabránit odposlouchávání po cestě.

SSL - mohu si udělat vlastní klíče a ten používat pro všechny přihlášené na stránce, aniž bych potřeboval CA
Ano, prohlížeče ale pak budou upozorňovat na to, že certifikát vydala nedůvěryhodná autorita

Jde udělat v php vytvoření klíče
Teoreticky ano

aby byla jeho platnost třeba 30 minut pro spojení a pak by zanikl
Ne, certifikát má pouze globální platnost (invalid before, invalid after)

Pak by zanikl a při dalším přihlášení by se nahrál další klič zase na 30 minut.
Ne, certifikát se inicializuje při startu serveru.

Stačí použít ssl jen pro přihlášení do sys
Teoreticky ano - pokud nastavíš certifikát na serveru jako neveřejný a uživatelům dáš standalone certifikát.

jak udělat aby to šlo načíst z toho phpwww
Direktivu DocumentRoot můžeš nastavit pro každou virtuální doménu zvlášť, takže ano, jde to udělat.

je bezpečné že uživatel vidí tyto id a take že se ukáží v liště kde je adresa.
Záleží na citlivosti těchto údajů, vstupní data a hesla bych tam osobne neumísťoval. Identifikátory ale klidně ano.
Toto téma je uzamčeno. Odpověď nelze zaslat.