Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5. На примерах. Авторы: Кузнецов М.В., Симдянов И.В., Голышев С.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Защита аутентификация и т.д
 
 автор: programmer_2006   (20.11.2006 в 18:21)   письмо автору
 
 

Этот вопрос затрагивался часто, но так как это сайт авторов очень хороших книг.То я хочу проконсультироватся.
Я написал систему защиты основанную на прохождения аутентификации через БД + идет проверка IP и user_agent.К томуже идет проверка в сети ли пользователь(даже если узнать все данные то когда он в сети попасть не удастся). Но я просматривал заголовки и убедился что в каждом заголовке идет ID сессии а это значит, что на пути между пользователем и сервером может засесть хакер который вытащит из заголовка ID и если совпадут браузеры и IP адреса спокойно попадет на сайт. IP может совпасть так как многие сидят серез прокси, хотя у меня идет еще проверка IP в подсети но анонимный прокси не даст такой инфы.
Как выкрутится с такой ситуации?
И еще как можно узнать с помощью ПХП мак номер сетевой карты?
Заранее благодарен.

   
 
 автор: Trianon   (20.11.2006 в 18:29)   письмо автору
 
   для: programmer_2006   (20.11.2006 в 18:21)
 

1. использовать SSL (https://...)
2. MAC-адрес жив лишь до ближайшего роутера, так что на http-уровне Вы его определить не сможете. Не говоря уже о том, что у многих сетевых средств MAC-адреса просто нет. У тех же модемов, например.

   
 
 автор: programmer_2006   (20.11.2006 в 18:32)   письмо автору
 
   для: Trianon   (20.11.2006 в 18:29)
 

да насчет SSL я знаю, про мак адрес, тоже, но думал что можно его как то узнать.Ну а как писать приложение для людей которым не нужны SSL пишеш и знаеш про дыру в защите и нечего не можеш с этим поделать.А так больше вроде и не чего не провериш. :-(

   
 
 автор: cheops   (20.11.2006 в 23:33)   письмо автору
 
   для: programmer_2006   (20.11.2006 в 18:21)
 

Хм не очень понятно, вы хотите осуществлять вход пользователей без ввода пароля? Просто по его данным?

   
 
 автор: programmer_2006   (21.11.2006 в 11:29)   письмо автору
 
   для: cheops   (20.11.2006 в 23:33)
 

Нет я хочу защитит пользователя от кражи идентификатора сессии либо с его компа либо при передачи заголовков между пользователем и сервером Не используя SSL и сертификаты.

   
 
 автор: cheops   (21.11.2006 в 12:24)   письмо автору
 
   для: programmer_2006   (21.11.2006 в 11:29)
 

От сетевого анализатора вы его не спасёте, но от кражи cookie можно защититься, если не допускать на сайте XSS-уязвимостей.

   
 
 автор: programmer_2006   (21.11.2006 в 13:03)   письмо автору
 
   для: cheops   (21.11.2006 в 12:24)
 

да знаю, я думал как то можно защитится от сетевого анализатора путем проверки еще каких то данных от пользователя которые тяжко потделать но кроме IP && user_agent вроде больше и нечего не провериш

   
 
 автор: programmer_2006   (21.11.2006 в 13:10)   письмо автору
 
   для: programmer_2006   (21.11.2006 в 13:03)
 

и еще может кто напомнит я гдето читал про выполнения системных команд на стороне сервера, что то про `` -такие ковычки и функции их блокирующие.

   
 
 автор: cheops   (22.11.2006 в 00:33)   письмо автору
 
   для: programmer_2006   (21.11.2006 в 13:10)
 

Следует заблокировать выполнение функций system(), exec(), shell_exec(), passthru(), pcntl_exec() при помощи директивы disable_functions конфигурационного файла php.ini, обратные кавычки будут заблокированы автоматически, они кажется к system() привязаны.

   
 
 автор: programmer_2006   (22.11.2006 в 13:10)   письмо автору
 
   для: cheops   (22.11.2006 в 00:33)
 

Спосибо :-)

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования