Система авторизации

Главная страница

Создание сайтов

Блог Кузнецова М.В.

Статьи о PHP

PHP-скрипты

Статьи об Apache

Форум С++

Консультации

Форум "Про Жизнь"

Форум:	Форум PHP	Форум Apache	Форум Регулярные Выражения	Форум MySQL	HTML+CSS+JavaScript	Форум Flash	Разное
Новые темы:	0	0	0	0	0	0	0

Здравствуйте, Посетитель!

вид форума:

тема: Система авторизации

следующая тема

предыдущая тема

Сообщения: [1-10] [11-20]

	автор: KIM (16.09.2006 в 20:26) письмо автору
	для: KIM (09.09.2006 в 22:47)
	Зачем мучатся со всякими поисковиками и тд и тп. Всё наверно проще если при регистрации переменной сессии с Логином зарегистрировать переменную с ip, и при работе пользователя со страницей сравнивать ИП. Вот и всё! Или это ошибка?

	автор: cheops (16.09.2006 в 14:19) письмо автору
	для: tAleks (16.09.2006 в 02:50)
	Нужно, чтобы к моменту попадания, он переставал быть действительными - т.е. завершать сессию.

	автор: tAleks (16.09.2006 в 02:50) письмо автору
	для: cheops (16.09.2006 в 01:11)
	Да ахринеть можно... а как тогда от этого защититься? Как предотвратить попадание SID в поисковик?

	автор: cheops (16.09.2006 в 01:11) письмо автору
	для: Unkind™ (16.09.2006 в 00:18)
	>Это еще каким образом? :) Тоже всегда безумно интересовало как они туда попадют... сейчас тему не найду, но есть реальные случае - заказывает человек что-то, а его заказ потом висит в yandex.ru, даже SQL-инъекции в поисковики попадают, не то что SID... По идее такие ссылки никак не должны попадать в резульататы поиска, но попадают... вероятно это работа баннеров поисковых систем, которые считают статистику, а заодно подкармливают ссылками роботов.

	автор: cheops (16.09.2006 в 01:05) письмо автору
	для: babilonian (16.09.2006 в 00:07)
	Скажу, что правы... ещё можно полностью реализовать собственный движок сессий http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=5253, в этом случае можно очень гибко работать с сессиями, например, закрывать их после того, как от пользователя нет активности в течении 20 минут.

	автор: Unkind™ (16.09.2006 в 00:18) письмо автору
	для: KIM (13.09.2006 в 22:14)
	А как SID украсть? Подобрать его практически нереально. Смотря какой SID. А если в SESSION хешированный идентификатор сессии передавать, который по таймауту закрывается? Что? :)) GET-параметр может попасть в поисковик Это еще каким образом? :) Туда может попасть только SID бота-поисковика ведь. И хранить только логин в файле сессии - не нужно совсем. Зачем? Пароль светить не надо, а если админ захочет изменить пароль, то пользователь ничего не почувствует.

	автор: babilonian (16.09.2006 в 00:07) письмо автору
	для: cheops (14.09.2006 в 19:31)
	А если в SESSION хешированный идентификатор сессии передавать, который по таймауту закрывается? Такой вариант на мой взгляд безопаснее будет. Что скажете, Хеопс?

	автор: cheops (14.09.2006 в 19:31) письмо автору
	для: KIM (13.09.2006 в 22:14)
	SID хранится в cookie или в GET-параметре, GET-параметр может попасть в поисковик - берут от туда, из cookie SID крадётся XSS-атакой.

	автор: Kero (13.09.2006 в 22:34) письмо автору
	для: KIM (13.09.2006 в 22:14)
	Народ! Реально вообще без SESSION обойтись безопасно?Я к примеру авторизацию делаю только по куки.

	автор: KIM (13.09.2006 в 22:14) письмо автору
	для: programmer_2006 (11.09.2006 в 19:19)
	А как SID украсть? Подобрать его практически нереально. А украсть?

Сообщения: [1-10] [11-20]

Форум разработан IT-студией SoftTime