Авторизация с точки зрения безопасности

[Larson]

Авторизация с точки зрения безопасности

Привет!
А можно ли сделать так, чтобы при авторизации пользователя не проверять на каждой странице логин и пароль, сделать какую нибудь переменную сессии, например access=true, и на каждой страницы просто прверять

if(!isset($_SEESSION['access'])
       exit();

Как это будет с точки зрения безопасности?

 

[Crazy]

Я, собственно, примерно так и делаю (только перед exit() стоит выполнить редирект на форму авторизации).

По степени безопасности это принципиально не отличается от постоянно сверки пароля.

Более защищенным решением будет только HTTPS.

 

[Larson]

Автор оригинала: Crazy
Более защищенным решением будет только HTTPS.

Если я правильно понимаю HTTPS следует использовать когда юзер логинится, далее можно и HTTP? Или я ошибаюсь?

ЗЫ А где можно прочитать, кроме detail.php.ru (там уже читал) про авторизацию?

 

[SeazoN]

Можно использовать в качестве параметра сессии

$_SERVER["REMOTE_ADDR"]

И сверять его, тогда если сессия и будет украдена - то воспользоваться ею можно будет только у того же провайдера.

Конечно можно использовать связку

$_SERVER["REMOTE_ADDR"] && $SERVER["HTTP_X_FORWARDED_FOR"]

но тогда диалапщики с динамическими ip будут перерегистрироваться

 

[trent]

Originally posted by Larson

Если я правильно понимаю HTTPS следует использовать когда юзер логинится, далее можно и HTTP? Или я ошибаюсь?

ЗЫ А где можно прочитать, кроме detail.php.ru (там уже читал) про авторизацию?

Смотря что защищаем... если только логин и паасворд, то можно использовать, https на этапе логина, а далее гнать все через http, если важно защитить и контент, то надо всегда испотльзовать https