Быстрый переход |
|
Программирование PHP, Perl, HTML, XHTML, CSS, JavaScript, MySQL и другие языки кодирования. |
|
Опции темы |
Сегодня | |||||
|
18.12.2006, 03:10 | #1 | |||
SEO Специалист
Реноме:
5372
|
Php+ssl
Коллеги, если кто писал скрипты под работу через https – поделитесь, плз, информацией.
Я правильно понимаю, что оплатив и настроив сертификат, любой серфер при обращении к сайту будет общаться шифрованными данными? И все это будет автоматически делаться? Не нужно будет из php ничего дополнительно делать (типа устанавливать и проверять какой-либо ssl-id серфера и тп)? Мне лично важно только то, что любые данные при любых коннектах к любым скриптам любыми серферами будут шифроваться, а уж “логинить” и идентифицировать (с использованием сессий) серферов – это я на php напишу. Спасибо!
__________________
Коллекционер доменных имен. |
|||
18.12.2006, 03:41 | #2 | |||
Реноме:
927
|
Все верно, шифрование происходит на более низком уровне (апач-клиент), а пхп работает уже над апачем - ему уже все равно как там физически передаются данные.
__________________
Регистрация доменов |
|||
18.12.2006, 20:59 | #4 | |||
Реноме:
927
|
Это уже обсуждается с хостером.
Например, не все панели управления позволяют устанавливать сертификаты из обычных пользовательских аккаунтов.
__________________
Регистрация доменов |
|||
19.12.2006, 11:07 | #5 | |||
SEO Специалист
Реноме:
5372
|
Благодарю.
Еще пара вопросов по безопасности: 1 Хакер может подделать ip (значение $_SERVER["REMOTE_ADDR"])? 2 Куки, живущие до закрытия окна браузера хранятся во временных файлах у клиента? Если да, то эти файлы можно перехватить трояном? 3 Хакер гарантированно не сможет перехватить куки, поставленные до закрытия окна браузера при https-соединении? Спасибо.
__________________
Коллекционер доменных имен. |
|||
27.12.2006, 13:52 | #7 | |||
Реноме:
4979
|
1 Хакер может подделать ip (значение $_SERVER["REMOTE_ADDR"])?
2 Куки, живущие до закрытия окна браузера хранятся во временных файлах у клиента? Если да, то эти файлы можно перехватить трояном?
3 Хакер гарантированно не сможет перехватить куки, поставленные до закрытия окна браузера при https-соединении?
Насколько сложно перехватить пароль, ушедший по мейлу от сервера? Насколько я понимаю - это есть гигантская дыра в защите.
|
|||
27.12.2006, 14:03 | #8 | |||
SEO Специалист
Реноме:
5372
|
Спасибо за ответы!
У меня идея старинная: Принимаем логин и пароль от юзера. Если пароль совпадает с хешем в базе - пишем случайный кук (мол, сессия открыта, доступ получен). Этот кук сверяем при каждом вызове скрипта. Время жизни кука тоже проверяем по данным из базы. Помимо этого пишем в базу хеш от ip и браузера залогиневшегося серфера. Если это все закрыть ssl-ем - я так понимаю, защиту можно считать надежной. За исключением перехватата пароля троянами при его вводе (это уже на совести серфера). Но вот еще интересует, могут ли этот кук перехватить как-то и подделать ip, дабы подделать текущую "сессию"? Ну и с напоминанием пароля надо что-то делать...
__________________
Коллекционер доменных имен. |
|||
Реклама | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|