> AT>> принес будешь считать за правильно авторизованного ? А ежели он
> AT>> ее украл ?
>
> Во-первых, если куки крадут, то и пароль нехило украсть могут :)
Могут, кто бы спорил.
> Во-вторых, почему не сделать куку годной только для оригинального IP и на
> ограниченное время? Это решит много проблем.
С IP есть такая проблема - если пользователь работает через proxy,
то другой пользователь той же proxy (например ее администратор) прекрасно
может заюзать чужую куку. А так - да, конечно, нужно зашивать IP
В-принципе, one-time cookies могут помочь, но есть существенная вероятность
что работать не будут :)
Алексей Тутубалин
mailto: lexa@lexa.ru
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
