Отправляет email-рассылки с помощью сервиса Sendsay

Web-дизайн, верстка, раскрутка - разработка web-сайтов

Подписаться Бесплатный дискуссионный лист Подписчиков 657
  Декабрь 2008  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
22.12.2008
17:47:17
20:52:43
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Сайт листа: http://blog.nundesign.com
Открыт: 06-08-2003
Пре-модерация: Да
Адрес для писем в лист: inet.webbuild.webbuilding-list@subscribe.ru
Адрес модератора: inet.webbuild.webbuilding-owner@subscribe.ru

Модератор
NunDesign

Статистика

657 подписчиков
0 за неделю

безопасная передача пароля из формы

Доброе время .. !
Есть база данных на php стороннего автора. При аутентификации пароль
пересылается в открытом виде, все это крутится в локальной сети, т.е.
пароль можно подсмотреть.
Работа через ssl сильно грузит сервер.
Есть ли возможность сделать так, чтобы только страница аутентификации
вызывалась по ssl, остальные по обычному http?
Или чтобы пароль передавался в неузнаваемом виде (пусть и в не стойком к
расшифровке, лишь бы не прямым текстом?
Сервер в итоге должен иметь нормальный пароль, т.к. потом проводит
проверку на imap сервере.



библиотекa сайтостроительства http://www.i2r.ru/static/244/

Ответить  
"avm7work@mail.ru"
Mon, 22 Dec 2008 17:48:28 +0300 (#803051)

 

Ответы:

Hello avm7work,

Monday, December 22, 2008, 4:48:28 PM, you wrote:

Правильно мыслите. Можно :)

Как правило скрипт аутентификации ставит куку. Её можно потом
использовать и при обычном http. Только её тоже могут подслушать,
причём это проще, т.к. пароль проходит 1 раз, а кука с каждым
запросом. Так что придётся озаботится дополнительными проверками...

Тоже можно. У меня даже есть такой скрипт, рассчитанный на
несколько учёток (10...20). Могу продать :)

А вот это совсем неправильно! Так не стоит делать, так как:

1. Появляется 2 разных места, где можно слушать пароль. И 2 разных
скрипта, которые можно ломать :)

2. При взломе ломается и Ваша система, и imap сервер.

В результате, "дырявость" всей системы повышается на порядок.

Ответить  
Mega_Hobbit
Mon, 22 Dec 2008 19:48:45 +0200 (#803088)

 

Mega_Hobbit пишет:

Каким образом это можно реализовать?
Возможно это сделать в настройках apache или в htaccess? Например указать, что
такой-то файл с сервера выдавать по ssl (перезапись url?)



библиотекa сайтостроительства http://www.i2r.ru/static/244/

Ответить  
"avm7work@mail.ru"
Tue, 23 Dec 2008 13:14:19 +0300 (#803372)

 

Hello avm7work,

Tuesday, December 23, 2008, 12:14:19 PM, you wrote:


Да банально всё.

http:// выдаём просто
https:// по ssl

Ответить  
Mega_Hobbit
Tue, 23 Dec 2008 22:59:22 +0200 (#803595)

 

Mega_Hobbit пишет:

т.е. нужно править программу, при обновлении это нужно повторять снова

в htaccess нельзя указать правило поменять в конкретном url http на https?



библиотекa сайтостроительства http://www.i2r.ru/static/244/

Ответить  
"avm7work@mail.ru"
Wed, 24 Dec 2008 11:24:45 +0300 (#803756)

 

avm7wo***@m*****.ru пишет:

Можно, но сложнее. Копай в сторону rewrite и редиректов с его помощью...



библиотекa сайтостроительства http://www.i2r.ru/static/244/

Ответить  
Mega_Hobbit
Wed, 24 Dec 2008 10:49:59 +0200 (#803767)

 

а вот еще идейка
http://kevin.vanzonneveld.net/techblog/article/javascript_equivalent_for_phps_md5/

шифровать на клиенте

rewritecond %{REQUEST_URI} ^login.php
rewritecond %{SERVER_PROTOCOL} !https
rewriterule ^login.php https://MYSITE.COM/login.php

за синтаксис не уверен

Ответить  
"Ilya Novojilov"
Wed, 24 Dec 2008 06:41:08 +0200 (#803683)

 

Ilya Novojilov пишет:

то, что нужно, но есть проблемы при переключении с протокола на протокол
- сервер блокирует
спасибо

кому интересно - вот ссылки на переводы статей по rewrite:
http://www.egoroff.spb.ru/portfolio/apache/mod_rewrite.html
http://www.egoroff.spb.ru/portfolio/apache/rewriteguide.html



библиотекa сайтостроительства http://www.i2r.ru/static/244/

Ответить  
"avm7work@mail.ru"
Wed, 24 Dec 2008 17:03:32 +0300 (#806736)