Новая тема   Ответить

 Guest
Какие могут быть недостатки при использовании авторизации средствами апача htacces+htpasswd ?
Особенно с точки зрения безопасности, совместимости с php

 lega_cobra
Недостаток один, как, в принципе, и при других видах авторизации - возможность перехвата паролей в случае "подслушивания" канала связи. Для протокола https это не страшно.

 redred
на мой взгляд самый большой недостаток - брутафорс, апаче не умеет блоктровать авторизацию если пароль указали больше 5 раз не правильно например. Сломать намного проще.

 Sha
Если прописать 403 ErrorDocument на скрипт, а скриптом при фанатизме редактировать .htaccess , то можно блокировать IP-шники брутфорсов.
... Я так думаю ...

 Stek
много там побрутфорсишь в вэбе

 Guest
переменная $_SERVER['PHP_AUTH_USER'] в пхп появляется только после авторизации апачем или же ее можно как то иным путем внести в окружение?

 Gourad
Через setenv можно задать.

 Guest
Gourad писал:
ты про apache_setenv ?
я имею ввиду, можно ли как то со стороны, не имея доступа к скриптам/апачу сервера. какие нить хаки ИЕ и тп...

 Stek
Guest: конечно нельзя так сделать Это все на сервере формируется.

 Guest
Ок, спасибо
еще вопрос как logout в этом случае делается?
чет нихера найти не могу в доках как эти переменные unset сделать

 Sha
С точки зрения http протокола нет понятия login/logout (сессии).
Сессию можно иммитировать куками или модификацией урлов.