Forum Webscript.Ru

Программирование => PHP => Тема начата: Croaker от 21 Октября 2002, 14:49:11

Название: снова про авторизацию
Отправлено: Croaker от 21 Октября 2002, 14:49:11: Есть на сайте каталог, который необходимо запаролить. Можно ли присвоить значения $PHP_AUTH_USER и $PHP_AUTH_PW не через недеры,

Header("WWW-Authenticate: Basic realm=\\"...\\"");
Header("HTTP/1.0 401 Unauthorized");

а как-нибудь по-другому, чтобы логин и пароль присваивались не через корявую форму броузера, а через html`ную?
Название: снова про авторизацию
Отправлено: ThE0ReTiC от 21 Октября 2002, 15:34:23: И не лень тебе подобные вопросы задавать?
Это обсуждается раз в два месяца.
Все, кто хотел уже высказались. И код привели.
Пользуйся поиском.
Название: снова про авторизацию
Отправлено: Croaker от 21 Октября 2002, 15:41:59: нашел, каюсь, благодарствую...
Название: снова про авторизацию
Отправлено: Croaker от 22 Октября 2002, 10:37:33: я все таки продолжу...

есть скрипт, который берет логин пароль из формы, и субмитит на http://login:pass@domain.ru/script.php, там проверяет и делает редирект, но уже на http://domain.ru/member/. Все нормально, пароль цепляет, но насколько безопасна такая конструкция url`а:

http://login:pass@domain.ru/script.php

? Пусть секунду (при диалапе - секунды 3-4 наверное, не проверял) логин с паролем видны в броузере. Насколько это может быть дыряво?
Название: снова про авторизацию
Отправлено: ThE0ReTiC от 22 Октября 2002, 11:55:57: А почему нельзя постом передать из формы?
Обязательно надо в командной строке?
Название: снова про авторизацию
Отправлено: Меняздесьдавнонет от 22 Октября 2002, 12:48:07: Теоретик, у него навязчивая идея сделать авторизацию не как все нормальные люди делают - на сессиях, а дремучей НТТР авторизацией.
НО при этом вводя пароль в форму.
А при таком раскладе единственный вариант - это действительно, редирект метой на логин:пасс...

Ты погоди - он скоро прибежит с вопросом, как разлогиниваться :-)))
Название: снова про авторизацию
Отправлено: ThE0ReTiC от 22 Октября 2002, 12:49:29: Цитировать
Ты погоди - он скоро прибежит с вопросом, как разлогиниваться :-)))

Хорош хохмить - мне работать надо :)))
А может ему не надо?
Croaker ты где?
Название: снова про авторизацию
Отправлено: Croaker от 22 Октября 2002, 12:51:45: OK, тема закрыта.
Название: снова про авторизацию
Отправлено: Меняздесьдавнонет от 22 Октября 2002, 12:52:26: Ну, может, и не надо, но это два стандартных вопроса -
как залогиниться из формы, или автоматом, и как разлогиниться.
Название: снова про авторизацию
Отправлено: Croaker от 22 Октября 2002, 14:13:36: RomikChef
я спросил - не как это сделать, а как это может навредить.
Название: снова про авторизацию
Отправлено: Меняздесьдавнонет от 22 Октября 2002, 18:51:41: а я про тебя ничего и не писал :-)

А проблемы безопасности гораздо шире, чем секундное мелькание пароля.
Все зависит от ценности защищаемой информации.
Если это форум, то к примеру, от того, что кто-то подсмотрит мой пароль, мне не будет ни жарко ни холодно. Пусть хоть мелькает, хоть по дороге снияфт, хоть троянами крадут.

Если информация ценная, то тут нужен ssl.
Для примера можно зайти на zmail.ru и посмотреть, как организовано там.
Но от допотопной НТТР авторизации тогда придется, конечно же, отказаться.
Название: снова про авторизацию
Отправлено: Croaker от 23 Октября 2002, 12:04:30: RomikChef
Это что-то вроде партнерской программы. Человек заходит в свою панель - регистрирует там свой сайт(ы), получает html -код. + Статистика регистраций с его аккаунта. В принципе - ничего сверхсекретного, но взлом аккаунта будет довольно неприятной вещью (как и всегда).