URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 4765
[ Назад ]

Исходное сообщение
"безопасна ли аутентификация"
Отправлено mishgan , 13-Мрт-07 16:24

Использую такую аутентификацию.
Если пароль и логин равны сохранненым то PHP создает сессию и регистрирует переменную ну например session_register("user");
А в файлах к которым нужно закрыть доступ пишем
if (isset($user)){exit;}
session_start();
if (isset($user)){echo "добро пожаловать";}
Возник вопрос безопасна ли такая аутентификация ? если да то как обезопасится?

Содержание

безопасна ли аутентификация,PS, 15:01 , 15-Мрт-07
- безопасна ли аутентификация,mishgan, 11:26 , 19-Мрт-07
безопасна ли аутентификация,KobaLTD, 17:12 , 19-Мрт-07

Сообщения в этом обсуждении

"безопасна ли аутентификация"
Отправлено PS , 15-Мрт-07 15:01

>Использую такую аутентификацию.
>Если пароль и логин равны сохранненым то PHP создает сессию и регистрирует
>переменную ну например session_register("user");
>А в файлах к которым нужно закрыть доступ пишем
>if (isset($user)){exit;}
>session_start();
>if (isset($user)){echo "добро пожаловать";}
>Возник вопрос безопасна ли такая аутентификация ? если да то как обезопасится?
>
Я в этом не силён, но у нас на работе в одной из систем пароли не хранятся в явном виде а являются ключом шифрования некоей строки (например одна для всех пользователей). В базе хранятся сочетания Логин - шифрованная строка. Если пользователь смог расшифровать строку своим паролем, то он прошёл проверку и т.д.

"безопасна ли аутентификация"
Отправлено mishgan , 19-Мрт-07 11:26

>Я в этом не силён, но у нас на работе в одной
>из систем пароли не хранятся в явном виде а являются ключом
>шифрования некоей строки (например одна для всех пользователей). В базе хранятся
>сочетания Логин - шифрованная строка. Если пользователь смог расшифровать строку своим
>паролем, то он прошёл проверку и т.д.
Ну и у меня они хранятся в неявном виде а в виде md5 хешей. Но вопрос то в другом.

"безопасна ли аутентификация"
Отправлено KobaLTD , 19-Мрт-07 17:12

>Использую такую аутентификацию.
>Если пароль и логин равны сохранненым то PHP создает сессию и регистрирует
>переменную ну например session_register("user");
>А в файлах к которым нужно закрыть доступ пишем
>if (isset($user)){exit;}
>session_start();
>if (isset($user)){echo "добро пожаловать";}
>Возник вопрос безопасна ли такая аутентификация ? если да то как обезопасится?
>

Это завит о какой безопастности ты говоришь
1)использование/перехват пароля трейтими лица
2) что бы пользователь не смог обойти свои ограничения
3) еще что то.
И вообще проблема "Безовастной авторизации" это большая проблема. И есть много способов ее решения. А какой выбирать зависит от того для каких целей тебе это надо.
Безопастность сильно зависит от того как реализованна проверка пароля и пользователя. А не как его хранить, как обрабатываються куки или скрытые поля если у тебя "сквозная авторизация".
Ты щас показал как сделать отбор на какое то действие, а вся безопастность завит не от этих операций, а от тех которые в итоге дают статус "прошол проверку или нет"
:)