Jakie logowanie bezpieczniejsze? Opcje

[Saletra]

Witam

Mam pewien dylemat.
Które logowanie będzie bezpieczniejsze do panelu administracyjnego CMS-a:
opcja 1. logowanie przez formularz na stronie WWW (dane wysyłane metodą POST) i tworzenie ciastka o określonej ważności

opcja 2. autoryzacja WWW [header("WWW-Authenticate: Basic realm=strefa chroniona")] użytkownika (tak jak np. w phpmyadmin) i pamiętanie sesji przez przeglądarkę.

Pozdrawiam.

Ten post edytował Saletra 2.06.2007, 13:06:21

[webdice]

Jak dobrze zabezpieczysz zapytania do bazy to pierwszy sposób będzie wystarczająco bezpieczny, co do drugie rozwiązania, nie na każdym serwerze masz dostęp do plików htaccess.

Ten post edytował webdicepl 2.06.2007, 13:13:55

[Kildyt]

Ja bym trzymał się pierwszego rozwiązania.

Hmm, dla spokojnego sumienia wcisnąłbym jeszcze jedno zabezpieczenia. Pomyśl twórczo ^^

[kiler129]

Podstawa to kodowanie haseł, ja bym stawiał na nr. 1

[szagi3891]

Jak już musisz tworzyć ciastko które będzie stwiedzać czy jesteś zalogowany to chociaż po ludzku je zaszyfruj żeby nikt nie mógł sobie takiego ciastka spreparować. O to też @Kildyt-owi podejrzewam chodziło (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

jest jeszcze https które tutaj można wykorzystać i nadało by się znakomicie. Zaszyfrowane dane trudniej wykorzystać do niecnych celów niż dane które są luźnie przesyłane. No i oczywiście przez formularz bym doradzał. Uważam że [header("WWW-Authenticate: Basic realm=strefa chroniona")] jest paskudne i nieprzyjazne dla użytkownika.

[shpyo]

A nie lepiej sesje? Nie musisz pamiętać o szyfrowaniu danych w ciastkach.
Jedyne co musisz zrobić to zabezpieczyć logowanie przez sql injection.

[domis86]

Ej chlopaki chlopaki. Zwykla sesja po prostu, tylko regenerujcie id po zmianie poziomu uprawnien usera (czyli np po zalogowaniu).

Wiecej:
http://shiflett.org/articles/session-fixation

albo poszukajcie se w googlach "session security php"


PS: na przyszlosc: jak sie bedziecie takimi pierdolami zajmowac to nigdy nic nie zrobicie - proste (ale skuteczne) rozwiazania sa najlepsze

[Eron]

Wedlug mnie to baza wraz z ciasteczkiem (IMG:http://forum.php.pl/style_emoticons/default/cool.gif) .
Jest to takze jak dla mnie 'latwiejsze'.
Pozdro

[LonelyKnight]

Wedlug mnie to baza wraz z ciasteczkiem (IMG:http://forum.php.pl/style_emoticons/default/cool.gif) .
Jest to takze jak dla mnie 'latwiejsze'.
Pozdro

A może jakieś argumenty? bo np. moim zdaniem najlepiej użyć wanny z olejem i parapetu z Hongkongu (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) A np. "baza i sesje" to są niby bez "ciasteczka"? Poza tym nie wiem co trudnego jest w sesjach...

Wracając do tematu moim zdaniem do tego są sesje i tego bym użył. Posłuchaj wcześniejszych rad, jak np. ta o regeneracji. Poza tym jak aplikacje kierujesz to jakiś szczególnie mało rozgarniętych userów, to sprawdzaj i trzymaj w sesji np. IP + przeglądarkę z jakiej się logowano i sprawdzaj czy się nie zmienia, gdyby czasami user zapodał komuś linkiem razem z nr sesji.