Наиболее безопасный способ авторизации пользователей?

Главная страница

Создание сайтов

Блог Кузнецова М.В.

Статьи о PHP

PHP-скрипты

Статьи об Apache

Форум С++

Консультации

Форум "Про Жизнь"

Форум:	Форум PHP	Форум Apache	Форум Регулярные Выражения	Форум MySQL	HTML+CSS+JavaScript	Форум Flash	Разное
Новые темы:	0	0	0	0	0	0	0

Здравствуйте, Посетитель!

вид форума:

тема: Наиболее безопасный способ авторизации пользователей?

следующая тема

предыдущая тема

	автор: kis-kis (31.03.2008 в 13:46) письмо автору
	Какой наиболее безопасный способ авторизации пользователей? Данные хранятся в mysql. Заранее спасибо.

	автор: mihdan (31.03.2008 в 17:33) письмо автору
	для: kis-kis (31.03.2008 в 13:46)
	md5+basic

	автор: kis-kis (01.04.2008 в 11:55) письмо автору
	для: mihdan (31.03.2008 в 17:33)
	Вы не могли бы дополнить свой ответ?

	автор: mihdan (01.04.2008 в 15:50) письмо автору
	для: kis-kis (01.04.2008 в 11:55)
	При регистрации шифруем проль при помощи md5() и кладем его в mysql При авторизации используем basic-авторизацию Полученный при авторизации (введенный пользователем) пароль снова шифруем md5() и сравниваем с тем что лежит в mysql

	автор: STEVER (01.04.2008 в 15:57) письмо автору
	для: mihdan (01.04.2008 в 15:50)
	от себя добавлю что такой способ не является безопасным, т.к. пароль мы в данном случае передаем в открытом виде

	автор: Atheist (01.04.2008 в 16:12) письмо автору
	для: mihdan (31.03.2008 в 17:33)
	> md5+basic А не мог бы прокомментировать чем этот способ "наиболее безопасен". А не, скажем, (выражусь твоим языком) "HAVAL + HTML-форма"? Или это очередное пустословие?

	автор: kis-kis (03.04.2008 в 16:20) письмо автору
	для: Atheist (01.04.2008 в 16:12)
	Больше нет вариантов? Стоит ли делать это: "при авторизации ставим пользователю, которого авторизировали в базу строку захэшированных IP и user agent и в сессию пишк ID пользователя при обновлении страницы проверяю по ID из сессии хэш строку и сравниваю с настоящими"

	автор: Atheist_? (03.04.2008 в 17:55) письмо автору
	для: kis-kis (03.04.2008 в 16:20)
	ID нужно сохранять безусловно: иначе кому принадлежит сессия? А вот никакой хеш там не нужен: во-первых, почему хеш? Во-вторых, IP может смениться. А вот User-Agent сохранять - тут есть здравая мысль.

	автор: SHAman (04.04.2008 в 13:09) письмо автору
	для: Atheist_? (03.04.2008 в 17:55)
	Нету никакой здравой мысли. Я часто захожу на разные сайты разными браузерами. И я не один такой. У меня, может, на работе ие, а дома фф. Тогда и ip и браузер будут меняться. Есть смысл сохранять их как признаки сессии. То есть, не подтверждать сессию, если ее id был отправлен не с того userAgent и не с того ip, на которые она ставилась. Это да, значительно повысит безопасность. Я бы сказал, тогда сессию стянуть будет очень сложно.

	автор: Valick (11.04.2008 в 13:34) письмо автору
	для: SHAman (04.04.2008 в 13:09)
	Есть смысл сохранять их как признаки сессии. Именно об этом и сказал Atheist Ну а для параноиков (таких как я) и смена IP настораживает)) но это не значит, что надо обрывать сессию... просто допустим сменить уровень доступа с полного на частичный.

	автор: Loki (04.04.2008 в 13:17) письмо автору
	для: kis-kis (03.04.2008 в 16:20)
	>Стоит ли делать это: Стоит. Это сделано для предотвращения кражи сессии. Но тупо писать - недостаточно. Необходимо еще и проверять соответствие.

	автор: kis-kis (11.04.2008 в 12:57) письмо автору
	для: Loki (04.04.2008 в 13:17)
	Так какой же наиболее безопасный способ авторизации?

	автор: Valick (11.04.2008 в 13:38) письмо автору
	для: kis-kis (11.04.2008 в 12:57)
	Так какой же наиболее безопасный способ авторизации? Тот который напишите вы сами после прочтения пару десятков книг и будет самым безопасным.