ru.cgi.perl

 
 - RU.CGI.PERL ------------------------------------------------------------------
 From : Pavel Kurnosoff                      2:5030/736.25  27 Oct 2000  22:51:56
 To : Artem Chuprina
 Subject : Re: Архитектура приложения ?
 -------------------------------------------------------------------------------- 
 

 
  AC> - SID светится в URL, т.е. подглядываем через плечо и оседаем в кешах,
  AC>     логах, истории и т.п. Security.
 
 да и пусть светится - через пятнадцать минут крон его сделает
 несуществующим. а в случае, если у тебя за спиной в это время стоял хакер
 Вася, который легко запомнил 32-значное hex-число и кинулся к своему компу
 творить злодеяния, то это уже social eng. естественно не надо делать даже
 необратимой зависимости sid от пароля.
 
  AC> Я пошел по другому пути - если есть куки, хорошо, если нет - вместо них
  AC> устроит Basic Authorization. Меня, правда, интересует идентификация
  AC> юзера, а не сессии, по крайней мере в том смысле, что двух одновременных
  AC> сессий не бывает (считаем одной сессией).
 
 ну, тогда - да. особенно если еще сессионные переменные не нужны как класс.
 
  AC>  Вообще же метод с куками, если
  AC> их грамотно генерировать (Wrapmod, глава 6) наиболее секьюрен в
  AC> отсутствие SSL.
 
 угу.
 
 -- 
 // pavel kurnosoff 
 --- Gnus v5.6.45/XEmacs 21.1 - "Bryce Canyon"
  * Origin: there's no tomorrow (2:5030/736.25)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Re: Архитектура приложения ?   Artem Chuprina   27 Oct 2000 14:14:33   Re: Архитектура приложения ?   Pavel Kurnosoff   27 Oct 2000 22:51:56   Архитектура приложения ?   Konstantin Osipov   28 Oct 2000 18:44:15   Re: Архитектура приложения ?   Artem Chuprina   13 Nov 2000 12:01:55   Re: Архитектура приложения ?   Pavel Kurnosoff   14 Nov 2000 23:08:51