Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В. PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум (новые сообщения вниз) Структурный форум

тема: Авторизация на cookie - надёжна или нет?

Сообщения:  [1-8] 

 
 автор: Trianon   (24.05.2007 в 12:26)   письмо автору
 
   для: Alba   (24.05.2007 в 12:18)
 

:)
Попробовать поставить, сделать редирект, проверить дошли ли.
Если поставите Javascript-ом - заодно проверите, включен ли Javascript.

   
 
 автор: Alba   (24.05.2007 в 12:18)   письмо автору
 
   для: Trianon   (24.05.2007 в 12:11)
 

Спасибо за ответ, вроде понял...

А как проверить включены ли куки или нет? (на случай если пользователь пожелает авторизироваться с выключеными куками, что бы выдать ему соответсвуюющее сообщение)

   
 
 автор: Trianon   (24.05.2007 в 12:11)   письмо автору
 
   для: Alba   (24.05.2007 в 11:32)
 

Фатически, аутентифицирующим токеном в сессионной авторизации является параметр PhpSessionId, который никак не привязан к IP-адресу, ни к прочим свойствам клиента, напр. USER AGENT.
На самом деле это спорно, поскольку и сессию можно отвергнуть, если сохраненные в ней параметры не совпали с пришедшими. Одним из таких параметров как раз может быть кукис, дополнительно метящий клиента. Вот тогда и возникает вопрос, а если мы все равно используем кукисы для аутентификации, зачем в этом опираться на сессию?

   
 
 автор: Alba   (24.05.2007 в 11:32)   письмо автору
 
   для: Trianon   (24.05.2007 в 11:10)
 

>Бывает, что аккуратная реализация авторизации на куках даже надежнее сессионной.

не могли бы по-подробнее об этом?

   
 
 автор: Alba   (24.05.2007 в 11:28)   письмо автору
 
   для: Trianon   (24.05.2007 в 11:10)
 

Я как то разбирал чужой код, и там авторизация была без использования сессий, а сейчас не могу вспомнить где он лежит, чтоб посмореть снова. короче, мне просто был интересен принцип авторизации на кукях.
Так то я представляю как это делается, но боюсь что у меня еще не достаточно опыта чтоб сделать это самому и без "дырок", вот и решил спросить у матерых волков в программировании на php :)

   
 
 автор: Trianon   (24.05.2007 в 11:10)   письмо автору
 
   для: Alba   (24.05.2007 в 10:28)
 

Бывает, что аккуратная реализация авторизации на куках даже надежнее сессионной.
На самом деле, наибольшая гибкость и устойчивость достигается при совмещении этих двух средств. В сессиях всё же проще хранить данные сеанса. Куки позволяют создать более надежный механизм аутентификации.

   
 
 автор: cheops   (24.05.2007 в 10:52)   письмо автору
 
   для: Alba   (24.05.2007 в 10:28)
 

Если на сайте нет XSS-уязвимостей, то нормально.

PS А почему сессии не подходят? Ведь они действуют по тому же принципу, что и сеансовые куки - более того сессии используют сеансовые куки для своей работы. В плане надёжности сессии более предпочтительнее, так как данные сессии не покидают сервера.

   
 
 автор: Alba   (24.05.2007 в 10:28)   письмо автору
 
 

Всем здрасти.

Подскажите пожалуйста, если я сделаю авторизацию на сайте с помощью сеансовых кукей - это будет нормально или это слишком ненадежно?
И как быть если куки отключены? (как это можно проверить?)

Или посоветуйте как лучше организовать авторизацию но без использования сессий...

   

Сообщения:  [1-8] 

Форум разработан IT-студией SoftTime
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования