Авторизация, её типы, какой лучше

[Dj Fly]

Subj

Кто что скажет?
Что надо использовать, IP, куки, сессии, всё подряд? :-)

[ThE0ReTiC]

Думаю все подряд.

[Oak]

Vse zavisit ot stepeni zachiti , kotoraya tebe nuzhna - to li eto forum prosto , to li ti na milion baksov chto-to prodaesh s sajta

[Bang]

Oak , а если на миллион баксов, то что тогда?

[Oak]

Togda  key words:  "IPsec", "PKI", "smart-cards", "TSL"

[ThE0ReTiC]

Я бы еще добавил suEXEC, SSL SSH, RSA, MD5,BlowFish ...

[Dj Fly]

Не-е-е-е-е, ребята, стоп...
Авторизация средней мощности...
Например, скажем, продаю в магазине, но не на лимон баксов :-) а на эдак штуку :-)

[Britva]

тогда проверка на отпечатки пальцев и сетчатку глаза

а если серьезно, то имхо сессий хватит (они же и так куки используют).

[Dj Fly]

Ясно...
Кстати, а этот форум что использует?

[ThE0ReTiC]

Тогда думаю так.
IP нецелесообразно. Можно скрыть, или подменить.
Хотя скрыть - это я погорячился. (как раз ведется разработка скрипта для обхода анонимных прокси).
Куки - как довесок.
SSL, etc малодоступно за так.
Остаются сессии. А механизм авторизации можно сделать на базе с шифрованием пароля. И инфу регистрационную тоже, в принципе можно хранить базе, тогда куки будут ненужны. Только инфу я бы хранил только некритичную. Ничего такого, что можно связать с деньгами. Например имя.

[Oak]

Я бы еще добавил suEXEC, SSL SSH, RSA, MD5,BlowFish ...

А я бы это вычеркнул.... 2 раза, поскольку все тобой перечисленное - поделки на коленках....
Оно в самый раз для форумов и , возможно , магазинов, торгующих дешевыми СД-ромами...

Например, скажем, продаю в магазине, но не на лимон баксов :-) а на эдак штуку :-)

Кому продаешь ? Нашим или зарубеж?
Если 2ое - стартовая стоимоть проекта порядка $4.000 и то. если будут делать специалисты, которые на грабли
уже раз наступили. Там получение сертификатов только чего стоит....

А сессии - дык это даже не обсуждается... Только обязательно поверх TSL или SSL v3.... Это тоже даже не обсуждается.

[ThE0ReTiC]

Oak
RSA на коленке? MD5 на коленке??
SSL на коленке, а сам рекоммендуешь?
Извини, немного не понял последовательность мысли.
Тогда что же по-твоему не на коленке? Отпечатки пальцев на мониторе клиента проверять?

[Oak]

Технологии.
Для начала - для серьезных банковских операций Internet запрещено использовать, как ненадежную среду передачи.
Например так построен Клиент-Банк в Украине (один из лучших\\быстрых в мире кстати)....
Так построен SWIFT (?) международный межбанковский обмен....

В крайнем случае используются криптованные постоянные соединения\\тунели через Инет.

Те применения, которые ты имеешь ввиду - это на коленке.

[ThE0ReTiC]

Ессно для магазина, который торгует носками через инет нет необходимости в шифрации траффика при помощи того же SSL. Может быть я тебя Oak неправильно понял, но ты имел ввиду сами так скажем алгоритмя защиты/сокрытия информации, приведенные мной, или применение средств, реализующих эти алгоритмы в проектах подобного уровня?

[Oak]

Нет. Для магазина носков - SSL всамый раз.
Я не алгоритмы имел ввиду - а подход.

Завтра откопаю ссылку на сайт с материалами тренинга по безопасности, на котором я был - посмотришь...

Меня там убедили, что если ты оперируешь деньгами, то только дурак будет использовать защиту по паролю
(не важно внутри чего она будет - SSL или нет). Парольная защита - идеологически самый слабый механизм аутентификации пользователя.

SSL - вообще не аутентифицирует пользователя , только сервер.. И только если пользователя ээто заботит...
(проверка актуальности сертификатов).