Архив форумов ЦИТФорума

[ZooY]

Тут уже пытались спросить про это, но тама ушла от темы

В обшем фигня такая, есть страница с формой ввода логина и пароля, и несколько секретных страниц, доступ к которым может получить только авторизованный пользователь.
Нужен относительно простой и в надежный код для реализации защиты. Сверх супер пупер навороченной защиты не нужно - код должен быть компактным.

Своим умом я понял следующее...
После того, как пользователь вводит регистрационные данные, они должны сравниваться с хранящимися в базе, пользователь должен пересылаться на одну из секретных страниц, а также в каких-то глобальных переманных должны сохранятся данные о пользователе, чтобы можно было на секретных страницах проверить, авторизован ли пользователь или нет.

В принципе все понятно, но остаются несколько вопросов, которые ставят в тупик.
1) Как вообще правильно сравнивать введенные данные с данными в базе, подходит ли для этого запрос вида

[GREA]

Соввсем недавно, кстати, говорилось об этом.
Используй хеш-функцию md5. Каждому паролю она сопоставляет уникальную строку хеша. Принцип в несимметричности кодирования/декодирования Т.е. Закодировать легко, раскодировать НЕВОЗМОЖНО. При регистрации просишь пароль и конвертишь в md5. Сохраняешь в базу. Если кто достанет, восстановить не сможет. Когда юзер логинится, конвертишь в md5 его пароль и сравниваешь с тем, что в базе.

[Гость]

Почитай про SSL и сессии все чудно расписано в MSDN (если asp сервер)

[ZooY]

Нет не ASP, предпологается использовать PHP и про SSL реч вообще не идет.

[wildwind]

[ZooY]

[Гость]

В доке на сервер смотри про поддержку сессий. Часто айпишник кодируется в идентификаторе сессии.

[ZooY]

Вот нашел очень интерестную статейку http://www.tltdev.net/articles.php?id=2&sid=a189d55e9b047217acce2da8bdcbe887
Все конечно прикольно, только есть одна проблема - как создавать пользователей. Т.е. ввожу я логин и пароль нового пользователя, а что потом... В статье подразумевается (да и все об этом говорят), что пароли хранятся в базе в захешированном виде. Пароль захешировать я могу у клиента. Но получается что посылать на сервер мне его придется не в запороленном виде (как в статье при авторизации), а в таком захешированном, иначе если я его запоролю приведенным способом, я не смогу извлеч на сервере хеш пароля, потому как кодируется все необратимым шифром.
Получается, что если злоумышленник перехватит пароль при создании пользователя - он сможет им воспользваться.
Что делать в такой ситуации? Применять какой-либо обратимый шифр при создании пользователя для отправки пароля на сервер? Или может есть что попроще?

[Astaroth]

Кстати, если разрешено то юзай файлы .htacess - легко и непринужденно закрываешь часть директорий сайта от незванных гостей либо по паролю, либо по ip, либо и так и сяк. И ненадо мучаться с самопальной авторизацией! Apache все за тебя сделает!
_________________
Не очеловечивайте компы - они этого не любят!

[GREA]

А потом создаешь новую запись о пользователе в базе данных или в файле.
В простейшем случае это пара [login,md5(password)]
И в файле куча таких записей. При добавлении новой, нужно следить, чтобы старые не стирались (если пользуешь файл, а не db)

[ZooY]

Да, это все хороше для какого нибудь раздела администрирования, когда под него можно целую папку отвести, а если это какой нибудь форум, или что нибудь иное когда в одной папке находятся и открытые файлы и секретные...

[Astaroth]

а в чем проблема лишний каталог создать? дажи идеология будет верной - то что не для всех лежит отдельно. и сразу заморочки с дырявыми скриптами пропадают - в апаче все реализовано намного серьезнее чем ты сможешь наваять ручками. кстати, опять же - чем отличаются "секретные" файлы от раздела администрирования? по сути ничем - кому-то можно, кому-то ни-ни.
в общем я своё мнение высказал, заморачиваться с самопалом имеет смысл только если есть объективные причины не создавать отдельный каталог. они есть? если нет, то .htacess тебе в руки
_________________
Не очеловечивайте компы - они этого не любят!

[ZooY]

они есть - Windows-хостинг

[ZooY]

А если все таки использовать SSL, какие неудобства может терпеть пользователь, и зависит ли возможность использования SSL от обозревателя?

[ZooY]

вот меня еще мучает такой вопрос...
Большинство более или менее надежных систем авторизации пытаются защитится от перезвата трафика, а вообще на сколько это реально?

[Astaroth]

От чего защититься???
_________________
Не очеловечивайте компы - они этого не любят!

[ZooY]

В статье, которую я уже приводил (http://www.tltdev.net/articles.php?id=2) чел говорит, что, цитирую: "Стандартный механизм сессий не позволяет хранить дополнительную информацию о каждой сессии. Поэтому придется переопределить управляющие функции, а сами сессии хранить в БД". В БД, в частности он пишет IP-адрес. Вопрос - а разве его нельзя хранить в самой сессии, какая разница то?

[ZooY]