Autor | Zpráva | ||
---|---|---|---|
nicolas Profil * |
#1 · Zasláno: 1. 4. 2007, 09:50:48
Potřeboval bych poradit v několika věcech ohledně bezpečnosti www stránek, jsem začátečník.
SSL - jaké data se mají šifrovat pomocí přenosu ssl? Na stránkách mám formuláře kterýma posílám data nějaké stránce, která je kontroluje podle reg. výrazů a pokud jsou ok, jde příkaz zapiš do DB v mysql. SSL - mohu si udělat vlastní klíče a ten používat pro všechny přihlášené na stránce, aniž bych potřeboval CA ? Jde udělat v php vytvoření klíče pro ssl aby byla jeho platnost třeba 30 minut pro spojení a pak by zanikl, aby zajistil jen prenos dat a přihlášení. Pak by zanikl a při dalším přihlášení by se nahrál další klič zase na 30 minut. Stačí použít ssl jen pro přihlášení do sys (www)? Mám stránky v adresáři c:phpwww, když dám https tak mě se načítají z htdocs, jak udělat aby to šlo načíst z toho phpwww? Odkazy, když mám na stránce a <href="index.php?action=vtopic&id_neco=$test&id_uzivate=$forum"> odkazem předám stránce id která je zpracuje a zadá do selectu (popřípadě zapíše do db), je bezpečné že uživatel vidí tyto id a take že se ukáží v liště kde je adresa. Děkuji předem za vaše rady. |
||
DoubleThink Profil * |
#2 · Zasláno: 1. 4. 2007, 11:12:18
SSL - jaké data se mají šifrovat pomocí přenosu ssl? Na stránkách mám formuláře kterýma posílám data nějaké stránce, která je kontroluje podle reg. výrazů a pokud jsou ok, jde příkaz zapiš do DB v mysql.
Data, u kterých chceš zabránit odposlouchávání po cestě. SSL - mohu si udělat vlastní klíče a ten používat pro všechny přihlášené na stránce, aniž bych potřeboval CA Ano, prohlížeče ale pak budou upozorňovat na to, že certifikát vydala nedůvěryhodná autorita Jde udělat v php vytvoření klíče Teoreticky ano aby byla jeho platnost třeba 30 minut pro spojení a pak by zanikl Ne, certifikát má pouze globální platnost (invalid before, invalid after) Pak by zanikl a při dalším přihlášení by se nahrál další klič zase na 30 minut. Ne, certifikát se inicializuje při startu serveru. Stačí použít ssl jen pro přihlášení do sys Teoreticky ano - pokud nastavíš certifikát na serveru jako neveřejný a uživatelům dáš standalone certifikát. jak udělat aby to šlo načíst z toho phpwww Direktivu DocumentRoot můžeš nastavit pro každou virtuální doménu zvlášť, takže ano, jde to udělat. je bezpečné že uživatel vidí tyto id a take že se ukáží v liště kde je adresa. Záleží na citlivosti těchto údajů, vstupní data a hesla bych tam osobne neumísťoval. Identifikátory ale klidně ano. |
||
Časová prodleva: 17 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0