On Wed, 19 Dec 2001, Alex Tutubalin wrote:
AT> > AT> Вот имянно. Потому как случаев авторизации через куки, да так чтобы
AT> > AT> еще какой-нибудь mod_perl в этом не участвовал я что-то не припомню
AT> > AT> в своей практике :)
AT> >
AT> > А тут все достаточно просто: минимально нагрузив сервер, сделать обращения
AT> > к authenticating engine максимально более редкими (в идеале, одно на
AT> > сессию)
AT> Какую, к лешему, сессию. Ты что, каждого кто правильную куку принес
AT> будешь считать за правильно авторизованного ? А ежели он ее украл ?
Так она ж будет уникальна для: IP address, HTTP_USER_AGENT, username, Via,
если поверх SSL - то еще и SSL_SESSION_ID.
плюс действовать типа десять-двадцать минут. Ну и, разумеется,
хешированная односторонне.
Риск некий остается, но, как мне кажется, некими разумными precausions его
можно разумно же минимизировать.
Sincerely,
D.Marck [DM5020, DM268-RIPE, DM3-RIPN]
------------------------------------------------------------------------
*** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- marck@rinet.ru ***
------------------------------------------------------------------------
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at http://www.lexa.ru/apache-talk =