НЕ ЗАНИМАЮСь ФИНАНСАМИ!
С нами с 16.03.03
Сообщения: 1251
Рейтинг: 653
|
 Добавлено: 10/02/08 в 21:59 |
Какие могут быть недостатки при использовании авторизации средствами апача htacces+htpasswd ?
Особенно с точки зрения безопасности, совместимости с php
|
|
|
|
| |
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
| Добавлено: 10/02/08 в 23:08 |
Недостаток один, как, в принципе, и при других видах авторизации - возможность перехвата паролей в случае "подслушивания" канала связи. Для протокола https это не страшно.
|
|
|
|
| |
С нами с 25.06.05
Сообщения: 66
Рейтинг: 62
|
| Добавлено: 11/02/08 в 00:31 |
на мой взгляд самый большой недостаток - брутафорс, апаче не умеет блоктровать авторизацию если пароль указали больше 5 раз не правильно например. Сломать намного проще.
|
|
|
|
| |
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
| Добавлено: 11/02/08 в 01:30 |
Если прописать 403 ErrorDocument на скрипт, а скриптом при фанатизме редактировать .htaccess , то можно блокировать IP-шники брутфорсов.
... Я так думаю ...
|
|
|
|
| |
www.phpdevs.com
С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105
|
| Добавлено: 11/02/08 в 11:08 |
много там побрутфорсишь в вэбе 
|
|
|
|
Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.
|
0
|
|
| |
НЕ ЗАНИМАЮСь ФИНАНСАМИ!
С нами с 16.03.03
Сообщения: 1251
Рейтинг: 653
|
| Добавлено: 11/02/08 в 11:47 |
переменная $_SERVER['PHP_AUTH_USER'] в пхп появляется только после авторизации апачем или же ее можно как то иным путем внести в окружение?
|
|
|
|
| |
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
| Добавлено: 11/02/08 в 12:02 |
Через setenv можно задать.
|
|
|
|
| |
НЕ ЗАНИМАЮСь ФИНАНСАМИ!
С нами с 16.03.03
Сообщения: 1251
Рейтинг: 653
|
| Добавлено: 11/02/08 в 12:16 |
| Gourad писал: | | Через setenv задать. |
ты про apache_setenv ?
я имею ввиду, можно ли как то со стороны, не имея доступа к скриптам/апачу сервера. какие нить хаки ИЕ и тп...
|
|
|
|
| |
www.phpdevs.com
С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105
|
| Добавлено: 11/02/08 в 13:03 |
Guest: конечно нельзя так сделать Это все на сервере формируется.
|
|
|
|
Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.
|
0
|
|
| |
НЕ ЗАНИМАЮСь ФИНАНСАМИ!
С нами с 16.03.03
Сообщения: 1251
Рейтинг: 653
|
| Добавлено: 11/02/08 в 13:44 |
Ок, спасибо
еще вопрос как logout в этом случае делается?
чет нихера найти не могу в доках как эти переменные unset сделать
|
|
|
|
| |
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
| Добавлено: 11/02/08 в 17:02 |
С точки зрения http протокола нет понятия login/logout (сессии).
Сессию можно иммитировать куками или модификацией урлов.
|
|
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
