ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА














     АРХИВ :: Apache-Talk
Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [apache-talk] cookie authenication



On Wed, 19 Dec 2001, Alex Tutubalin wrote:

AT> > AT> Вот имянно. Потому как случаев авторизации через куки, да так чтобы
AT> > AT> еще какой-нибудь mod_perl в этом не участвовал я что-то не припомню
AT> > AT> в своей практике :)
AT> >
AT> > А тут все достаточно просто: минимально нагрузив сервер, сделать обращения
AT> > к authenticating engine максимально более редкими (в идеале, одно на
AT> > сессию)
AT> Какую, к лешему, сессию. Ты что, каждого кто правильную куку принес
AT> будешь считать за правильно авторизованного ? А ежели он ее украл ?

Так она ж будет уникальна для: IP address, HTTP_USER_AGENT, username, Via,
если поверх SSL - то еще и SSL_SESSION_ID.
плюс действовать типа десять-двадцать минут. Ну и, разумеется,
хешированная односторонне.

Риск некий остается, но, как мне кажется, некими разумными precausions его
можно разумно же минимизировать.

Sincerely,
D.Marck                                   [DM5020, DM268-RIPE, DM3-RIPN]
------------------------------------------------------------------------
*** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- marck@rinet.ru ***
------------------------------------------------------------------------

=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =



 




Copyright © Lexa Software, 1996-2009.