PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Безопаснcоть HTTP

Форумы портала PHP.SU » PHP » Программирование на PHP » HTTP и PHP (Модераторы: OrmaJever, Саныч)

Страниц (1): [1]

Описание: Авторизация HTTP

Поиск в теме | Версия для печати

Russer	Отправлено: 26 Мая, 2016 - 14:07:50
Гость Покинул форум Сообщений всего: 91 Дата рег-ции: Февр. 2015 Помог: 1 раз(а)	Здравствуйте! В моем проекте (Вывод данных с контроллера по http) требуется достаточно хороший уровень безопасности. По скольку количество пользователей не такое уж и большое, решил сделать авторизацию по средствам стандартного http. Пока что пробую Basic метод , потом будет Digest . Смысл очень прост : для отдельного пользователя создается пара логин:пароль , в директории находящейся выше web-сервера лежат ini файлы(настройки подключения к контроллеру), названия файла = логину в http. Связь скрипта ,подгружающего настройки, и HTTP авторизации ведется через переменную $_SERVER[PHP_AUTH_USER]. Первый вопрос надежен ли такой метод? Второй вопрос каким способом можно выполнить logout из HTTP?(на данный момент пытался через header, но пока не выходить) Третий вопрос можно ли защитить HTTP аутентификацию от брута? Заранее спасибо!

kuller	Отправлено: 26 Мая, 2016 - 14:36:06
Частый посетитель Покинул форум Сообщений всего: 561 Дата рег-ции: Нояб. 2009 Помог: 2 раз(а)	не проще ли ssl поставить...

Russer	Отправлено: 26 Мая, 2016 - 14:55:05
Гость Покинул форум Сообщений всего: 91 Дата рег-ции: Февр. 2015 Помог: 1 раз(а)	kuller пишет: не проще ли ssl поставить... Это тестовый проект для своих нужд , и соответственно не хотелось бы вкладывать большие деньги.Ну и плюс SSL защитить только от брута, как я понимаю?

Viper	Отправлено: 26 Мая, 2016 - 15:41:26
Активный участник Покинул форум Сообщений всего: 4555 Дата рег-ции: Февр. 2007 Откуда: Симферополь Помог: 98 раз(а)	Russer пишет: Первый вопрос надежен ли такой метод? нет. Russer пишет: Второй вопрос каким способом можно выполнить logout из HTTP?(на данный момент пытался через header, но пока не выходить) http://stackoverflow[dot]com/a/233551 Russer пишет: Третий вопрос можно ли защитить HTTP аутентификацию от брута? да. Как минимум капча + лимитировать кол-во попыток + бан на время. (Добавление) Russer пишет: Это тестовый проект для своих нужд , и соответственно не хотелось бы вкладывать большие деньги. если уж речь зашла. Можно и бесплатно на 2 года на 5 доменов https://buy[dot]wosign[dot]com/free/ это если не заморачиваться с гемороем let's encrypt. Russer пишет: Ну и плюс SSL защитить только от брута нет. SSL дает гарантию от перехвата данных ибо шифровано, но нужно не забывать про mitm(man-in-the-middle). ----- Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе

Russer	Отправлено: 26 Мая, 2016 - 22:51:01
Гость Покинул форум Сообщений всего: 91 Дата рег-ции: Февр. 2015 Помог: 1 раз(а)	Viper пишет: Russer пишет: Первый вопрос надежен ли такой метод? нет. Russer пишет: Второй вопрос каким способом можно выполнить logout из HTTP?(на данный момент пытался через header, но пока не выходить) http://stackoverflow[dot]com/a/233551 Russer пишет: Третий вопрос можно ли защитить HTTP аутентификацию от брута? да. Как минимум капча + лимитировать кол-во попыток + бан на время. (Добавление) Russer пишет: Это тестовый проект для своих нужд , и соответственно не хотелось бы вкладывать большие деньги. если уж речь зашла. Можно и бесплатно на 2 года на 5 доменов https://buy[dot]wosign[dot]com/free/ это если не заморачиваться с гемороем let's encrypt. Russer пишет: Ну и плюс SSL защитить только от брута нет. SSL дает гарантию от перехвата данных ибо шифровано, но нужно не забывать про mitm(man-in-the-middle). Спасибо большое! Можно по первому вопросу немножко подробнее , что кроме отсутствия ssl не безопасно в таком методе? И по третьему авторизируюсь стандартным apache , всплывающие окно логин пароль , разве можно туда добавить капчу? Лимитировать лучше стандартным php, например записывать количество попыток в сессию?

Viper	Отправлено: 26 Мая, 2016 - 23:09:39
Активный участник Покинул форум Сообщений всего: 4555 Дата рег-ции: Февр. 2007 Откуда: Симферополь Помог: 98 раз(а)	Russer пишет: что кроме отсутствия ssl не безопасно в таком методе? всё в открытом виде. Russer пишет: авторизируюсь стандартным apache пережиток прошлого. Russer пишет: Лимитировать лучше стандартным php, например записывать количество попыток в сессию? да. ----- Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« HTTP и PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.