Оптимальный вариант авторизации

[www]

Оптимальный вариант авторизации

Делаю админскую часть, и вот решил проконсультироваться, какими способами наиболее оптимально защититься от взлома? Сделал обычную авторизацию на сессиях, в начале каждой закрытой страницы проверяю есть ли в сессии необходимые значения и установлены ли они вообще, если нет то Location на страницу логина. Но достаточно ли такого способа?

 

[Фанат]

взломать можно всё

 

[www]

т.е. такого варианта вполне достаточно?

 

[Фанат]

добавь проверку IP, и будет достаточно

 

[www]

уже спасибо

 

[diamond_krnl]

запоминай до кучи к IP еще USER_AGENT, более устоичиво против кражи сессионого ключа.
хотя если сильно захотеть - хакнут ((

 

[www]

ладно, добавлю еще и юзер_агента

 

[Фанат]

агент - достаточно бессмысленно.

 

[diamond_krnl]

ну если расмотреть возможность кражи из одной сети (прокси), то ю.агент мальнька но "защита".

 

[Фанат]

если рассмотреть возможность подделки юзер-агента, то эта "маланька" никого ни от чего не защитит.

это тот же самый разговор, что и про сравнение скорости эхо и принт - идиотский.

учитесь видеть вещи в реальности, а не по отдельности.

 

[diamond_krnl]

Фанат - не спорю. :

для параноиков - https SSL