Witam
Mam pewien dylemat.
Które logowanie będzie bezpieczniejsze do panelu administracyjnego CMS-a:
opcja 1. logowanie przez formularz na stronie WWW (dane wysyłane metodą POST) i tworzenie ciastka o określonej ważności
opcja 2. autoryzacja WWW [header("WWW-Authenticate: Basic realm=strefa chroniona")] użytkownika (tak jak np. w phpmyadmin) i pamiętanie sesji przez przeglądarkę.
Pozdrawiam.
Pełna wersja: Jakie logowanie bezpieczniejsze?
Jak dobrze zabezpieczysz zapytania do bazy to pierwszy sposób będzie wystarczająco bezpieczny, co do drugie rozwiązania, nie na każdym serwerze masz dostęp do plików htaccess.
Ja bym trzymał się pierwszego rozwiązania.
Hmm, dla spokojnego sumienia wcisnąłbym jeszcze jedno zabezpieczenia. Pomyśl twórczo ^^
Hmm, dla spokojnego sumienia wcisnąłbym jeszcze jedno zabezpieczenia. Pomyśl twórczo ^^
Podstawa to kodowanie haseł, ja bym stawiał na nr. 1
Jak już musisz tworzyć ciastko które będzie stwiedzać czy jesteś zalogowany to chociaż po ludzku je zaszyfruj żeby nikt nie mógł sobie takiego ciastka spreparować. O to też @Kildyt-owi podejrzewam chodziło 
jest jeszcze https które tutaj można wykorzystać i nadało by się znakomicie. Zaszyfrowane dane trudniej wykorzystać do niecnych celów niż dane które są luźnie przesyłane. No i oczywiście przez formularz bym doradzał. Uważam że [header("WWW-Authenticate: Basic realm=strefa chroniona")] jest paskudne i nieprzyjazne dla użytkownika.
jest jeszcze https które tutaj można wykorzystać i nadało by się znakomicie. Zaszyfrowane dane trudniej wykorzystać do niecnych celów niż dane które są luźnie przesyłane. No i oczywiście przez formularz bym doradzał. Uważam że [header("WWW-Authenticate: Basic realm=strefa chroniona")] jest paskudne i nieprzyjazne dla użytkownika.
A nie lepiej sesje? Nie musisz pamiętać o szyfrowaniu danych w ciastkach.
Jedyne co musisz zrobić to zabezpieczyć logowanie przez sql injection.
Jedyne co musisz zrobić to zabezpieczyć logowanie przez sql injection.
Ej chlopaki chlopaki. Zwykla sesja po prostu, tylko regenerujcie id po zmianie poziomu uprawnien usera (czyli np po zalogowaniu).
Wiecej:
http://shiflett.org/articles/session-fixation
albo poszukajcie se w googlach "session security php"
PS: na przyszlosc: jak sie bedziecie takimi pierdolami zajmowac to nigdy nic nie zrobicie - proste (ale skuteczne) rozwiazania sa najlepsze
Wiecej:
http://shiflett.org/articles/session-fixation
albo poszukajcie se w googlach "session security php"
PS: na przyszlosc: jak sie bedziecie takimi pierdolami zajmowac to nigdy nic nie zrobicie - proste (ale skuteczne) rozwiazania sa najlepsze
Wedlug mnie to baza wraz z ciasteczkiem 
.
Jest to takze jak dla mnie 'latwiejsze'.
Pozdro
.Jest to takze jak dla mnie 'latwiejsze'.
Pozdro
Cytat(Eron @ 6.06.2007, 16:03:22 ) 
Wedlug mnie to baza wraz z ciasteczkiem .
Jest to takze jak dla mnie 'latwiejsze'.
Pozdro
.Jest to takze jak dla mnie 'latwiejsze'.
Pozdro
A może jakieś argumenty? bo np. moim zdaniem najlepiej użyć wanny z olejem i parapetu z Hongkongu
A np. "baza i sesje" to są niby bez "ciasteczka"? Poza tym nie wiem co trudnego jest w sesjach...Wracając do tematu moim zdaniem do tego są sesje i tego bym użył. Posłuchaj wcześniejszych rad, jak np. ta o regeneracji. Poza tym jak aplikacje kierujesz to jakiś szczególnie mało rozgarniętych userów, to sprawdzaj i trzymaj w sesji np. IP + przeglądarkę z jakiej się logowano i sprawdzaj czy się nie zmienia, gdyby czasami user zapodał komuś linkiem razem z nr sesji.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.