Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Безопаснcоть HTTP
Форумы портала PHP.SU » » HTTP и PHP » Безопаснcоть HTTP

Страниц (1): [1]
 

1. Russer - 26 Мая, 2016 - 14:07:50 - перейти к сообщению
Здравствуйте!
В моем проекте (Вывод данных с контроллера по http) требуется достаточно хороший уровень безопасности. По скольку количество пользователей не такое уж и большое, решил сделать авторизацию по средствам стандартного http. Пока что пробую Basic метод , потом будет Digest . Смысл очень прост : для отдельного пользователя создается пара логин:пароль , в директории находящейся выше web-сервера лежат ini файлы(настройки подключения к контроллеру), названия файла = логину в http. Связь скрипта ,подгружающего настройки, и HTTP авторизации ведется через переменную $_SERVER[PHP_AUTH_USER].
Первый вопрос надежен ли такой метод?
Второй вопрос каким способом можно выполнить logout из HTTP?(на данный момент пытался через header, но пока не выходить)
Третий вопрос можно ли защитить HTTP аутентификацию от брута?
Заранее спасибо!
2. kuller - 26 Мая, 2016 - 14:36:06 - перейти к сообщению
не проще ли ssl поставить...
3. Russer - 26 Мая, 2016 - 14:55:05 - перейти к сообщению
kuller пишет:
не проще ли ssl поставить...

Это тестовый проект для своих нужд , и соответственно не хотелось бы вкладывать большие деньги.Ну и плюс SSL защитить только от брута, как я понимаю?
4. Viper - 26 Мая, 2016 - 15:41:26 - перейти к сообщению
Russer пишет:
Первый вопрос надежен ли такой метод?
нет.
Russer пишет:
Второй вопрос каким способом можно выполнить logout из HTTP?(на данный момент пытался через header, но пока не выходить)
http://stackoverflow[dot]com/a/233551
Russer пишет:
Третий вопрос можно ли защитить HTTP аутентификацию от брута?
да. Как минимум капча + лимитировать кол-во попыток + бан на время.
(Добавление)
Russer пишет:
Это тестовый проект для своих нужд , и соответственно не хотелось бы вкладывать большие деньги.
если уж речь зашла.
Можно и бесплатно на 2 года на 5 доменов https://buy[dot]wosign[dot]com/free/ это если не заморачиваться с гемороем let's encrypt.
Russer пишет:
Ну и плюс SSL защитить только от брута
нет. SSL дает гарантию от перехвата данных ибо шифровано, но нужно не забывать про mitm(man-in-the-middle).
5. Russer - 26 Мая, 2016 - 22:51:01 - перейти к сообщению
Viper пишет:
Russer пишет:
Первый вопрос надежен ли такой метод?
нет.
Russer пишет:
Второй вопрос каким способом можно выполнить logout из HTTP?(на данный момент пытался через header, но пока не выходить)
http://stackoverflow[dot]com/a/233551
Russer пишет:
Третий вопрос можно ли защитить HTTP аутентификацию от брута?
да. Как минимум капча + лимитировать кол-во попыток + бан на время.
(Добавление)
Russer пишет:
Это тестовый проект для своих нужд , и соответственно не хотелось бы вкладывать большие деньги.
если уж речь зашла.
Можно и бесплатно на 2 года на 5 доменов https://buy[dot]wosign[dot]com/free/ это если не заморачиваться с гемороем let's encrypt.
Russer пишет:
Ну и плюс SSL защитить только от брута
нет. SSL дает гарантию от перехвата данных ибо шифровано, но нужно не забывать про mitm(man-in-the-middle).

Спасибо большое!
Можно по первому вопросу немножко подробнее , что кроме отсутствия ssl не безопасно в таком методе?
И по третьему авторизируюсь стандартным apache , всплывающие окно логин пароль , разве можно туда добавить капчу? Лимитировать лучше стандартным php, например записывать количество попыток в сессию?
6. Viper - 26 Мая, 2016 - 23:09:39 - перейти к сообщению
Russer пишет:
что кроме отсутствия ssl не безопасно в таком методе?
всё в открытом виде.
Russer пишет:
авторизируюсь стандартным apache
пережиток прошлого.
Russer пишет:
Лимитировать лучше стандартным php, например записывать количество попыток в сессию?
да.

 

Powered by ExBB FM 1.0 RC1