Автор Тема: снова про авторизацию (Прочитано 3888 раз)

Croaker · « : 21 Октября 2002, 14:49:11 »

Есть на сайте каталог, который необходимо запаролить. Можно ли присвоить значения $PHP_AUTH_USER и $PHP_AUTH_PW не через недеры,

Header("WWW-Authenticate: Basic realm=\\"...\\"");
Header("HTTP/1.0 401 Unauthorized");

а как-нибудь по-другому, чтобы логин и пароль присваивались не через корявую форму броузера, а через html`ную?

ThE0ReTiC · « **Ответ #1 :** 21 Октября 2002, 15:34:23 »

И не лень тебе подобные вопросы задавать?
Это обсуждается раз в два месяца.
Все, кто хотел уже высказались. И код привели.
Пользуйся поиском.

Croaker · « **Ответ #2 :** 21 Октября 2002, 15:41:59 »

нашел, каюсь, благодарствую...

Croaker · « **Ответ #3 :** 22 Октября 2002, 10:37:33 »

я все таки продолжу...

есть скрипт, который берет логин пароль из формы, и субмитит на http://login:pass@domain.ru/script.php, там проверяет и делает редирект, но уже на http://domain.ru/member/. Все нормально, пароль цепляет, но насколько безопасна такая конструкция url`а:

http://login:pass@domain.ru/script.php

? Пусть секунду (при диалапе - секунды 3-4 наверное, не проверял) логин с паролем видны в броузере. Насколько это может быть дыряво?

ThE0ReTiC · « **Ответ #4 :** 22 Октября 2002, 11:55:57 »

А почему нельзя постом передать из формы?
Обязательно надо в командной строке?

Меняздесьдавнонет · « **Ответ #5 :** 22 Октября 2002, 12:48:07 »

Теоретик, у него навязчивая идея сделать авторизацию не как все нормальные люди делают - на сессиях, а дремучей НТТР авторизацией.
НО при этом вводя пароль в форму.
А при таком раскладе единственный вариант - это действительно, редирект метой на логин:пасс...

Ты погоди - он скоро прибежит с вопросом, как разлогиниваться :-)))

ThE0ReTiC · « **Ответ #6 :** 22 Октября 2002, 12:49:29 »

Цитировать

Ты погоди - он скоро прибежит с вопросом, как разлогиниваться :-)))

Хорош хохмить - мне работать надо

)
А может ему не надо?
Croaker ты где?

Croaker · « **Ответ #7 :** 22 Октября 2002, 12:51:45 »

OK, тема закрыта.

Меняздесьдавнонет · « **Ответ #8 :** 22 Октября 2002, 12:52:26 »

Ну, может, и не надо, но это два стандартных вопроса -
как залогиниться из формы, или автоматом, и как разлогиниться.

Croaker · « **Ответ #9 :** 22 Октября 2002, 14:13:36 »

RomikChef
я спросил - не как это сделать, а как это может навредить.

Меняздесьдавнонет · « **Ответ #10 :** 22 Октября 2002, 18:51:41 »

а я про тебя ничего и не писал :-)

А проблемы безопасности гораздо шире, чем секундное мелькание пароля.
Все зависит от ценности защищаемой информации.
Если это форум, то к примеру, от того, что кто-то подсмотрит мой пароль, мне не будет ни жарко ни холодно. Пусть хоть мелькает, хоть по дороге снияфт, хоть троянами крадут.

Если информация ценная, то тут нужен ssl.
Для примера можно зайти на zmail.ru и посмотреть, как организовано там.
Но от допотопной НТТР авторизации тогда придется, конечно же, отказаться.

Croaker · « **Ответ #11 :** 23 Октября 2002, 12:04:30 »

RomikChef
Это что-то вроде партнерской программы. Человек заходит в свою панель - регистрирует там свой сайт(ы), получает html -код. + Статистика регистраций с его аккаунта. В принципе - ничего сверхсекретного, но взлом аккаунта будет довольно неприятной вещью (как и всегда).

Новости:

Автор Тема: снова про авторизацию (Прочитано 3888 раз)