Быстрая авторизация гетом

[snark]

Быстрая авторизация гетом

Есть ли подводные камни при передачи скрипту методом GET зашифрованную md5 комбинацию логин+пароль+соль и тд? Лично я особо не вижу проблем здесь, но как-то редко (очень редко) встречал такой метод.

Спасибо!

 

[Gorynych]

проблем с передачей через GET каких либо данных, позволяющих аторизовать или идентифицировать пользоателя нет, примерно так и работают всякие разовые ссылки вида: "для того чтобы просмотреть/ответить/отказаться/подтвердить ... перейдите по ссылке"

но GET метод в качестве постоянной авторизации слишком открыт, прозрачен и провоцирует пользователя на случайную передачу такой ссылки кому не попадя (в том числе - по закладке).

 

[prolis]

1. давать соль на стороне клиента - это не давать её вообще
2. не только браузер сохранит в истории такой замечательный урл
3. на одноклассниках похожая дыра была долго поначалу - было весело

 

[Alexandre]

3. на одноклассниках похожая дыра была долго поначалу - было весело

а вот с этого момента можно по подробнее

 

[prolis]

Alexandre не на этом форуме

 

[Фанат]

snark, лично тоже я не вижу особых проблем. Но у передачи методом POST я вижу проблем ещё меньше. может быть, именно поэтому ты (очень редко) встречал передачу логина и пароля гет-ом?

 

[snark]

*****, доводы первых двух форумчан меня переубедили реализовывать такой метод аутентификации.

 

[Фанат]

Меня бы убедил только один довод - "а зачем?"

 

[snark]

Автор оригинала: *****
Меня бы убедил только один довод - "а зачем?"

для того чтобы в оповещениях приходящих на мыло "просмотреть/ответить/отказаться/подтвердить" можно было совершить действие не вводя руками логина и пароля.

 

[iceman]

для rss

 

[SiMM]

для RSS есть basic auth

 

[Alexandre]

для того чтобы в оповещениях приходящих на мыло "просмотреть/ответить/отказаться/подтвердить" можно было совершить действие не вводя руками логина и пароля.

а если придумать что-то типа разового кода активации/деактивации