[php] Autoryzacja http

[Ukasz]

Witam

mam takie pytanie odnosnie skryptu autoryzacji tj.

[php]<?php
if(!isset($PHP_AUTH_USER) ||
strcmp($PHP_AUTH_USER,$login)
||
strcmp(md5($PHP_AUTH_PW),$pass)) {
Header("WWW-Authenticate: Basic realm=\"Panel administracyjny KFD\"");
Header("HTTP/1.0 401 Unauthorized");
echo "<meta http-equiv=\"content-type\" content=\"text/html; charset=iso-8859-2\">";
echo "<center>Podałeś nieprawidłowe hasło. Przejdź do poprzedniej strony i popraw błąd.<br>Próba wejścia i Twoje dane zostały zapisane.";
echo "<a href=\"javascript:history.go(-1)\">wstecz</a>";
exit;
}
?>
<?php
echo "właściwa strona";
?>
[/php]

w jakim stopniu ten sposob logowania jest bezpieczny? czy lepiej zrezygnowac z jego stosowania

i jeszcze jedno - czy jest mozliwe wylogowanie w dowolnym momencie - czyli bez koniecznosci zamykania przeglądarki

dziekuje za zainteresowanie

[wixor]

szczerze mówiąc to nie mam pojęcia o autoryzacji przez HTTP, ale najprawdopodobniej hasło jest przesyłane otwartym tekstem, więc wystarczy mały sniffer żeby je przechwycić...

[Ukasz]

dziękuje za odpowiedz chociaz bardziej chodzilo mi o to czy jest bezpieczne pod tym względem czy łatwo je ominąć, czyli dostać się do strefy chronionej - czyli zakładam że bez znajomości hasła (wysnifowanego, czy podglądniętego)

czyli np. czy dla Ciebie - nie będącego w mojej sieci - będzie to małą przeszkodą

[Dreen]

nie trzeba autoryzacji http zeby zabezpieczyc strone... wystarczy przy rejestracji/zakladaniu konta zapisac do bazy danych lub nawet do pliku tekstowego (bo w tym momencie nie ma to wiekszego znaczenia) nie haslo i login, lecz ich hashe... a poprawnosc tychze sprawdzac porownyjac hashe zapisanych, z tymi co zostaja podawane przy probie zalogowania. poza tym dzieki takiemu czemus mozemy nawet obejsc sie bez sesji, bo wystarczy caly czas przekazywac w url-u hashe.

[Ukasz]

umkej

ale w moim przypadku będzie to logowanie do panelu administratora - jeden login i jedno haslo bez potrzeby pamietania uzytkownika i przekazywania zmiennych poprzez url

admin sie loguje - wprowadza zmiany - wylogowuje - koniec

[Dreen]

to ze jest jeden megauser nie ma znaczenia, ciagle uwazam ze wykorzystywanie w takim przypadku autoryzacji http daje tylko bajeranckie okienko i nic wiecej, skoro mozna zrobic to latwiej&szybciej wykorzystujac zwykly formularz!

[Ukasz]

łatwiej&szybiej

a mi sie wydawalo ze dodanie kilku linijek na poczatku pliku admina jest szybsze i latwiejsze niz zrobienie formularza

[Dreen]

łatwiej&szybiej

a mi sie wydawalo ze dodanie kilku linijek na poczatku pliku admina jest szybsze i latwiejsze niz zrobienie formularza

nie bede sie klocil ale ciagle uwazam ze nie masz racji

[Ukasz]

ja absolutnie nie dąże do kłótni bylem po prostu ciekawski

[wixor]

Ładnie, ładnie.... jaka pokojowa wymiana zdań... Ja bym zrobił formularz, bo nie jestem pewien czy wszystkie przeglądarki (np. textory lynx który mimo prostotyjest całkiem popularny..... wśród unix-owców) obsługoją autoryzacje HTTP. Ponad to wiele serverów (czyt. www.friko.pl) ma zablokowaną tą możliwość... Co do prostoty- to kwestia gustu.

[Ukasz]

no to tym lepiej ze nie obslugują - mniej potencjalnych chakjerów
a ten panel to pod konkretną stronę na konkretnym serwerze na którym konkretnie działa

ale mimo tego pomysle jeszcze nad formularzem

ale dalej nie wiem czy mozna jakos sie wylogowac w dowolnym momencie

--- tak to jest jak sie jest leniem i sie szukac dokladnie nie chce
http://pl.php.net/manual/en/features.http-auth.php