Jump to content
  • 0

Недостатки использования cookie (авторизация)


nike61
 Share

Question

13 answers to this question

Recommended Posts

  • 0
Что будет если кто-то просмотрит?

Тогда он увидит хеш логина, пароля и ip? :)

Кстати, по поводу ip ? какая необходимость создавать его хеш и засовывать в куки? Его можно вычислять на лету, причем ? никто не будет знать, что ты используешь эту проверку при авторизации. Однако эта проверка наносит ряд ограничений: у некоторых пользователей с каждым заходом в сеть ip меняется в пределах некоторого диапозона, а значит, проверку необходимо делать не по полному ip, а лишь по его части.

Вообще говоря, идеально безопасной авторизации не существует, особенно ? при использовании cookie. Часто рекомендуют также проверять по заголовку ?User Agent?? Если задача авторизации состоит в том, чтобы помнить авторизованного на протяжении только одной сессии работы с сайтом, то стоит задуматься о стандартных методах авторизации пользователя с помощью посылки специальных заголовков?

Link to comment
Share on other sites

  • 0

post, сокеты ? откуда? об этом никто не говорил?

Если речь о моей последней фразе, я имел в виду отправку следующих заголовков:

header("WWW-Authenticate: Basic realm="lalalala"");
header("HTTP/1.0 401 Unauthorized");

и последующуя проверку по переменным:

$_SERVER['PHP_AUTH_USER'] и $_SERVER['PHP_AUTH_PW']

Link to comment
Share on other sites

  • 0
кстати, СЕССИИ (не путать с институтскими :))отличная замена кукам..

позволяют передавать данные со странички, на страничку))

И откуда ты такой умный взялся?

Тебя спрашивают о недостатках кукис, а не о сессиях.

Link to comment
Share on other sites

  • 0
кстати, СЕССИИ (не путать с институтскими :lol:)отличная замена кукам..

позволяют передавать данные со странички, на страничку))

Вообще?то сами сессии строятся на передаче клиенту и получении от него уникального ключа. Ключ, в частности, передается и при помощи печенюшек. Поэтому ни о какой замене говорить нельзя. Ни в коем случае.

Link to comment
Share on other sites

  • 0
я о замене алгорритма: вме100 методы "класть что-то в кукис", делаем "класть что-то в сессию", а потом вынуть.. т.о, иногда можно ведь заменить кукисы на сессии!

Вы путаете немного. Можно хранить данные в сессии, но для это нужно выдавать каждому пользователю уникальный ключ ? по которому можно добраться до ЕГО данных.

Этот ключ пользователь должен будет КАЖДЫЙ РАЗ передавать серверу. Либо в ссылках (путем добавления во все урл страницы конструкции вида "&SESS_KEY=8cbeb278ff40068bc2144e5e0eb73b5c"), либо в кукисах (что не портит вида урлов).

Так, к примеру, работает стандартная система сессий в PHP. Если возможны кукис ? шлет их, нет ? уродует URL.

Link to comment
Share on other sites

  • 0

Нет. "Не может".) (впринципе, можно все) Переменные храняться исключительно на сервере. + практически везде(и на этом форуме юзаются сессии), поэтому юзай их и не задумывайся о защите + можно ещ? и https присобачить)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy