Autor Zpráva
krteczek
Profil
Zdravín, jde místo sessions a cookies a pooužít wwwautentifikace??s tím že na každé další stránce se ověřuje jestli je osoba přihlášena. zajímá mne jak je to bezpečne/nebezpečné, použivám to pro přihlášení administrátora do rs.
krteczek
Charlie
Profil
No, přijde na to =)

Má to nevýhodu, že se někomu to okno s autentizačními údaji nemusí líbit =)

Jinak je to ale IMHO bezpečnější, session se teoreticky můžou zfalšovat.
llook
Profil
Session jsou bezpečnější. Při HTTP autentikaci se zasílá vždy heslo, zatímco u sessions se přihlásíš a pak už posíláš jen session ID. To sice lze teoreticky ukrást, ale platí jen dočasně. Pokud uživatel určitou dobu nic neudělá, session se smaže.
krteczek
Profil
dobrá, a když na přihlášení provedu pod protokolem https?to znamenám pod šifrovaným přenosem???co je v tom případě lepší??? wwwautifikace, nebo session klasicky???
krteczek
llook
Profil
Je to úplně stejný, akorát nelze nic ukrást cestou mezi klientem a serverem.
Způsoby, jak lze ukrást heslo, jsou stejné jako způsoby jak ukrást session ID. Pokud je možnost použít https, tak bych doporučoval přes https udělat samotné přihlášení - zaslání hesla.

Mimochodem krádeži session můžeš do určité míry zabránit, když si u každé session budeš pamatovat IPku:

session_start();
if (!isset($_SESSION['ip'])) {
$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
} elseif ($_SESSION['ip'] !== $_SERVER['REMOTE_ADDR']) {
// ...
exit;
}
krteczek
Profil
Takže jestli jsem to správně pochopil je to dostatečně bezpečný zpusob přihlášení do rs...
https+wwwautentifikace stačí ... v případě rs spravovaného jedním-
krteczekdvěma lidma (majitel ) :-),za předpokladu že nebudou mít komp napaden spywarem, nebo se nebudou přihlašovat z kaváren...
Toto téma je uzamčeno. Odpověď nelze zaslat.