Здравствуйте!
В моем проекте (Вывод данных с контроллера по http) требуется достаточно хороший уровень безопасности. По скольку количество пользователей не такое уж и большое, решил сделать авторизацию по средствам стандартного http. Пока что пробую Basic метод , потом будет Digest . Смысл очень прост : для отдельного пользователя создается пара логин:пароль , в директории находящейся выше web-сервера лежат ini файлы(настройки подключения к контроллеру), названия файла = логину в http. Связь скрипта ,подгружающего настройки, и HTTP авторизации ведется через переменную $_SERVER[PHP_AUTH_USER].
Первый вопрос надежен ли такой метод?
Второй вопрос каким способом можно выполнить logout из HTTP?(на данный момент пытался через header, но пока не выходить)
Третий вопрос можно ли защитить HTTP аутентификацию от брута?
Заранее спасибо!
1. Russer - 26 Мая, 2016 - 14:07:50 - перейти к сообщению
2. kuller - 26 Мая, 2016 - 14:36:06 - перейти к сообщению
не проще ли ssl поставить...
3. Russer - 26 Мая, 2016 - 14:55:05 - перейти к сообщению
kuller пишет:
не проще ли ssl поставить...
Это тестовый проект для своих нужд , и соответственно не хотелось бы вкладывать большие деньги.Ну и плюс SSL защитить только от брута, как я понимаю?
4. Viper - 26 Мая, 2016 - 15:41:26 - перейти к сообщению
Russer пишет:
нет.Первый вопрос надежен ли такой метод?
Russer пишет:
http://stackoverflow[dot]com/a/233551Второй вопрос каким способом можно выполнить logout из HTTP?(на данный момент пытался через header, но пока не выходить)
Russer пишет:
да. Как минимум капча + лимитировать кол-во попыток + бан на время.Третий вопрос можно ли защитить HTTP аутентификацию от брута?
(Добавление)
Russer пишет:
если уж речь зашла.Это тестовый проект для своих нужд , и соответственно не хотелось бы вкладывать большие деньги.
Можно и бесплатно на 2 года на 5 доменов https://buy[dot]wosign[dot]com/free/ это если не заморачиваться с гемороем let's encrypt.
Russer пишет:
нет. SSL дает гарантию от перехвата данных ибо шифровано, но нужно не забывать про mitm(man-in-the-middle).
Ну и плюс SSL защитить только от брута
5. Russer - 26 Мая, 2016 - 22:51:01 - перейти к сообщению
Viper пишет:
(Добавление)
Можно и бесплатно на 2 года на 5 доменов https://buy[dot]wosign[dot]com/free/ это если не заморачиваться с гемороем let's encrypt.
Russer пишет:
нет.Первый вопрос надежен ли такой метод?
Russer пишет:
http://stackoverflow[dot]com/a/233551Второй вопрос каким способом можно выполнить logout из HTTP?(на данный момент пытался через header, но пока не выходить)
Russer пишет:
да. Как минимум капча + лимитировать кол-во попыток + бан на время.Третий вопрос можно ли защитить HTTP аутентификацию от брута?
(Добавление)
Russer пишет:
если уж речь зашла.Это тестовый проект для своих нужд , и соответственно не хотелось бы вкладывать большие деньги.
Можно и бесплатно на 2 года на 5 доменов https://buy[dot]wosign[dot]com/free/ это если не заморачиваться с гемороем let's encrypt.
Russer пишет:
нет. SSL дает гарантию от перехвата данных ибо шифровано, но нужно не забывать про mitm(man-in-the-middle).Ну и плюс SSL защитить только от брута
Спасибо большое!
Можно по первому вопросу немножко подробнее , что кроме отсутствия ssl не безопасно в таком методе?
И по третьему авторизируюсь стандартным apache , всплывающие окно логин пароль , разве можно туда добавить капчу? Лимитировать лучше стандартным php, например записывать количество попыток в сессию?
6. Viper - 26 Мая, 2016 - 23:09:39 - перейти к сообщению
Russer пишет:
всё в открытом виде.что кроме отсутствия ssl не безопасно в таком методе?
Russer пишет:
пережиток прошлого.авторизируюсь стандартным apache
Russer пишет:
да.
Лимитировать лучше стандартным php, например записывать количество попыток в сессию?