[Access]Czy logowanie w mod_rewrite jest bezpieczne? Opcje

[ReBeLs513]

Jak w tytule, czy logowanie przez accessa jest bezpieczne i jeśli skracanie linków nie jest dostępne, to czy można to zrobić np. w PHP?

[!*!]

Tak można to zrobić w PHP. Musiałbyś/ktoś napisać funkcję która rozbije (explode) z url wszytko co występuje po slashu i odpowiednio to obrobi wysyłając te dane dalej do skryptu.

Poza tym masz rozbieżność w pytaniu które zadałeś w tytule tematu, a tym w samym temacie.

Ten post edytował !*! 28.07.2010, 09:25:03

[kilas88]

Nie mod_rewrite, który jest od przepisywania linków, lecz (jeśli mnie pamięć nie myli) mod_auth (czy coś pokrewnego, np. mod_auth_db, mod_auth_dbm).

Autoryzacja użytkownika w ten sposób jest bezpieczna. Wyskakujące okienko nie jest jednak zbyt przyjazną formą logowania (nie ma możliwości zakładania nowego konta przez użytkownika bezpośrednio z panelu logowania, nie ma opcji przypomnienia hasła). Rozwiązanie też nie jest zbyt skalowalne, bo co jeśli za rok będziesz chciał przenieść aplikację na inny serwer niż Apache? Przepisywać część kodu od nowa? Na Twoim miejscu zainteresowałbym się więc rozwiązaniem problemu po stronie PHP (chyba, że chcesz to robić na szybko, wtedy apache wystarczy).

[ReBeLs513]

właśnie akurat chodzi mi o zabezpieczenie katalogów, w których trzymam ważne dokumenty strony, dlatego htacess. Kolega mówił, że bez odpowiednich zabezpieczeń będzie można się "wkraść" na stronę, dlatego nie wiem czy htaccess jest dobry. Jeśli chodzi o logowanie to ciągle szukam skryptu samego logowania, bo wiem, że ten, który mam teraz, niestety nie jest bezpieczny. Dzięki:)

Ten post edytował ReBeLs513 28.07.2010, 16:52:14

[everth]

To zabezpieczenie działa dopóki jakiś mądry admin nie wyłączy mod_rewrite globalnie - i wtedy siada. Lepsze jest to (Apache2):

[APACHE] pobierz, plaintext 
 <Directory TWOJ_KATALOG>
Order Deny,Allow
Deny from all
</Directory>
[APACHE] pobierz, plaintext 

[ReBeLs513]

Czy ja wiem, czy wyłączy? To zagraniczny hosting, polskie nie są dobre;-) Ale jeśli by wyłączył to by było źle...

[everth]

Jeśli może wydarzyć się coś złego to lepiej założyć że się wydarzy i być przygotowanym (IMG:style_emoticons/default/winksmiley.jpg)

[ReBeLs513]

Czyli mam wpisać tą formułkę w htaccess?- co ona dokladnie robi?

[everth]

Odmawia dostępu do katalogu dla każdego użytkownika próbującego go podejrzeć przez przeglądarkę - php i skrypty wykonujące po stronie serwera zachowują pełny dostęp (jak i tego nie chcesz to pozostaje ci zmienić prawa dostępu do katalogu z poziomu systemu plików)

[ReBeLs513]

Sorki, co mam wstawić zamiast "TWÓJ_KATALOG"? Chcę, aby ta funkcja działała na całej stronie.

[everth]

Zapoznaj się z tym, a najlepiej z całą stroną. Tam jest odpowiedź na (chyba) wszystkie twoje pytania.

[ReBeLs513]

Chyba nie na to ostatnie...

[everth]

Przepraszam, przepraszam, przepraszam (IMG:style_emoticons/default/smile.gif) . Tak to jest jak zajmuje się kilkoma rzeczami naraz - jak dodawałem posta to miałem w głowie zupełnie inne pytanie - to dotyczące htaccesa. Pewnie przez to się nie zrozumieliśmy.

[ReBeLs513]

Czytałem ostatnio, że "ich troje" mieli zabezpieczenia a się włamano... Może to być możliwe??

[kilas88]

Czytałem ostatnio, że "ich troje" mieli zabezpieczenia a się włamano... Może to być możliwe??

Tak, o ile przyjąć iż w serwerowni pracowała wtyka - Pani Zosia, która zajmowała się hakerstwem. Załóżmy więc, że Zosia miała dostęp do serwera, odpowiednią wiedzę, umiejętności i motyw. Ukradkiem więc przysiadła przy komputerze i zmodyfikowała serwer Apache na własne potrzeby (musisz wiedzieć, że Apache jest projektem o otwartym kodzie źródłowym), czego efektem było powstanie luki bezpieczeństwa - co zostało następnie wykorzystane do celów niechybnych, o których wyczytałeś.

ReBeLs513, wszystko jest możliwe!