Forum Webscript.Ru
Программирование => PHP => Тема начата: Dj Fly от 18 Января 2002, 17:46:30
-
Subj
Кто что скажет?
Что надо использовать, IP, куки, сессии, всё подряд? :-)
-
Думаю все подряд.
-
Vse zavisit ot stepeni zachiti , kotoraya tebe nuzhna - to li eto forum prosto , to li ti na milion baksov chto-to prodaesh s sajta :)
-
Oak , а если на миллион баксов, то что тогда?
-
Togda key words: "IPsec", "PKI", "smart-cards", "TSL"
-
Я бы еще добавил suEXEC, SSL SSH, RSA, MD5,BlowFish ...
-
Не-е-е-е-е, ребята, стоп...
Авторизация средней мощности...
Например, скажем, продаю в магазине, но не на лимон баксов :-) а на эдак штуку :-)
-
тогда проверка на отпечатки пальцев и сетчатку глаза :D
а если серьезно, то имхо сессий хватит (они же и так куки используют).
-
Ясно...
Кстати, а этот форум что использует?
-
Тогда думаю так.
IP нецелесообразно. Можно скрыть, или подменить.
Хотя скрыть - это я погорячился. (как раз ведется разработка скрипта для обхода анонимных прокси).
Куки - как довесок.
SSL, etc малодоступно за так.
Остаются сессии. А механизм авторизации можно сделать на базе с шифрованием пароля. И инфу регистрационную тоже, в принципе можно хранить базе, тогда куки будут ненужны. Только инфу я бы хранил только некритичную. Ничего такого, что можно связать с деньгами. Например имя.
-
Я бы еще добавил suEXEC, SSL SSH, RSA, MD5,BlowFish ...
А я бы это вычеркнул.... 2 раза, поскольку все тобой перечисленное - поделки на коленках....
Оно в самый раз для форумов и , возможно , магазинов, торгующих дешевыми СД-ромами...
:)
Например, скажем, продаю в магазине, но не на лимон баксов :-) а на эдак штуку :-)
Кому продаешь ? Нашим или зарубеж?
Если 2ое - стартовая стоимоть проекта порядка $4.000 и то. если будут делать специалисты, которые на грабли
уже раз наступили. Там получение сертификатов только чего стоит....
А сессии - дык это даже не обсуждается... Только обязательно поверх TSL или SSL v3.... Это тоже даже не обсуждается.
-
Oak
RSA на коленке? MD5 на коленке??
SSL на коленке, а сам рекоммендуешь?
Извини, немного не понял последовательность мысли. :(
Тогда что же по-твоему не на коленке? Отпечатки пальцев на мониторе клиента проверять?
-
Технологии.
Для начала - для серьезных банковских операций Internet запрещено использовать, как ненадежную среду передачи.
Например так построен Клиент-Банк в Украине (один из лучших\\быстрых в мире кстати)....
Так построен SWIFT (?) международный межбанковский обмен....
В крайнем случае используются криптованные постоянные соединения\\тунели через Инет.
Те применения, которые ты имеешь ввиду - это на коленке.
-
Ессно для магазина, который торгует носками через инет нет необходимости в шифрации траффика при помощи того же SSL. Может быть я тебя Oak неправильно понял, но ты имел ввиду сами так скажем алгоритмя защиты/сокрытия информации, приведенные мной, или применение средств, реализующих эти алгоритмы в проектах подобного уровня?
-
Нет. Для магазина носков - SSL всамый раз.
Я не алгоритмы имел ввиду - а подход.
Завтра откопаю ссылку на сайт с материалами тренинга по безопасности, на котором я был - посмотришь...
Меня там убедили, что если ты оперируешь деньгами, то только дурак будет использовать защиту по паролю
(не важно внутри чего она будет - SSL или нет). Парольная защита - идеологически самый слабый механизм аутентификации пользователя.
SSL - вообще не аутентифицирует пользователя , только сервер.. И только если пользователя ээто заботит...
(проверка актуальности сертификатов).
-
IP в расширенном вариатнте (C HTTP_X_FORWARDED_FOR)
Куки только сразу проверяй записались ли они
Если не помогает - сессии
-
Куки только сразу проверяй записались ли они
Если не помогает - сессии
Да сразу сессии используй и все, и не надо проверять куки. Там все автоматически проверится
-
Мой тебе совет: помимо всего что посоветовали необходимо использовать также систему авторизации, реализованную например на ЯваСкрипт. Хотя есть большой шанс, что пользователь в личных настройках отключит Яву... и все же лучше подстраховаться, тем более что такой скрипт написать, как 2-а пальца об асфальт:)
-
Oak
Завтра откопаю ссылку на сайт с материалами тренинга по безопасности, на котором я был - посмотришь...
Как насчёт ссылки ?? :)
-
Мда... оригинальный сайт уже того....
Копия тут:
http://cad.ntu-kpi.kiev.ua/events/secure2000/
только скорость слабая до сайта.