безопасная передача пароля из формы

Доброе время .. !
Есть база данных на php стороннего автора. При аутентификации пароль
пересылается в открытом виде, все это крутится в локальной сети, т.е.
пароль можно подсмотреть.
Работа через ssl сильно грузит сервер.
Есть ли возможность сделать так, чтобы только страница аутентификации
вызывалась по ssl, остальные по обычному http?
Или чтобы пароль передавался в неузнаваемом виде (пусть и в не стойком к
расшифровке, лишь бы не прямым текстом?
Сервер в итоге должен иметь нормальный пароль, т.к. потом проводит
проверку на imap сервере.



библиотекa сайтостроительства http://www.i2r.ru/static/244/

Ответить   Mon, 22 Dec 2008 17:48:28 +0300 (#803051)

 

Ответы:

Hello avm7work,

Monday, December 22, 2008, 4:48:28 PM, you wrote:

Правильно мыслите. Можно :)

Как правило скрипт аутентификации ставит куку. Её можно потом
использовать и при обычном http. Только её тоже могут подслушать,
причём это проще, т.к. пароль проходит 1 раз, а кука с каждым
запросом. Так что придётся озаботится дополнительными проверками...

Тоже можно. У меня даже есть такой скрипт, рассчитанный на
несколько учёток (10...20). Могу продать :)

А вот это совсем неправильно! Так не стоит делать, так как:

1. Появляется 2 разных места, где можно слушать пароль. И 2 разных
скрипта, которые можно ломать :)

2. При взломе ломается и Ваша система, и imap сервер.

В результате, "дырявость" всей системы повышается на порядок.

Ответить   Mon, 22 Dec 2008 19:48:45 +0200 (#803088)

 

Mega_Hobbit пишет:

Каким образом это можно реализовать?
Возможно это сделать в настройках apache или в htaccess? Например указать, что
такой-то файл с сервера выдавать по ssl (перезапись url?)



библиотекa сайтостроительства http://www.i2r.ru/static/244/

Ответить   Tue, 23 Dec 2008 13:14:19 +0300 (#803372)

 

Hello avm7work,

Tuesday, December 23, 2008, 12:14:19 PM, you wrote:


Да банально всё.

http:// выдаём просто
https:// по ssl

Ответить   Tue, 23 Dec 2008 22:59:22 +0200 (#803595)

 

Mega_Hobbit пишет:

т.е. нужно править программу, при обновлении это нужно повторять снова

в htaccess нельзя указать правило поменять в конкретном url http на https?



библиотекa сайтостроительства http://www.i2r.ru/static/244/

Ответить   Wed, 24 Dec 2008 11:24:45 +0300 (#803756)

 

avm7wo***@m*****.ru пишет:

Можно, но сложнее. Копай в сторону rewrite и редиректов с его помощью...



библиотекa сайтостроительства http://www.i2r.ru/static/244/

Ответить   Wed, 24 Dec 2008 10:49:59 +0200 (#803767)

 

а вот еще идейка
http://kevin.vanzonneveld.net/techblog/article/javascript_equivalent_for_phps_md5/

шифровать на клиенте

rewritecond %{REQUEST_URI} ^login.php
rewritecond %{SERVER_PROTOCOL} !https
rewriterule ^login.php https://MYSITE.COM/login.php

за синтаксис не уверен

Ответить   Wed, 24 Dec 2008 06:41:08 +0200 (#803683)

 

Ilya Novojilov пишет:

то, что нужно, но есть проблемы при переключении с протокола на протокол
- сервер блокирует
спасибо

кому интересно - вот ссылки на переводы статей по rewrite:
http://www.egoroff.spb.ru/portfolio/apache/mod_rewrite.html
http://www.egoroff.spb.ru/portfolio/apache/rewriteguide.html



библиотекa сайтостроительства http://www.i2r.ru/static/244/

Ответить   Wed, 24 Dec 2008 17:03:32 +0300 (#806736)