In <Pine.LNX.4.03.9901251643070.8-100000@xxxxxxxxxxxxxxx> Victor B Wagner (vitus@xxxxxx) wrote:
>> множество. Я говорил о SQL-авторизации, пароли к которой неизбежно будут в
>> исходниках...
VW> Опять же не обязательно. Очень легко сделать, чтобы этот пароль был в
VW> голове у юзера. Естественно, для этого стоит поднять SSL и не пускать
VW> юзеров с 40-битным шифрованием.
По моему спор идет по принципу "в огороде бузина, а в Киеве дядька". По-моему
исходно речь шла не об авторизации пользователя вообще ! Как я понял проблема
(с которой я также столкнулся) проще всего пояснить на примере: пусть у нас
есть, скажем, записная книжка (GuestBook) в базе данных, которая принадлежит
какому-либо пользователю. Обращение к ней идет через PHP или через mod_perl --
фиолетово. При этом пользователь, который делает записи в GuestBook'е вообще
никаких паролей знать не должен ! Не нужно ему это ! Однако чего нам бы не
хотелось, так это того, чтобы наши соседи по web-server'у могли после взгляда
на исходники скрипта весь GuestBook испохадить напрямую, не проходя через
соответствущий скрипт и не оставляя записей в log'ах Apache'а. Я не умею этого
делать ни с использованием PHP, ни с использованием mod_perl'а без
использования внешних программ, да и с ними добиться сколько нибудь приличной
защиты сложно -- разве что при использовании suexec'а и запрете mod_perl'а и
PHP, да и то не факт... Авторизация через SQL -- это хорошо (Да мало ли через
что можно безопасно авторизоваться ? При использовании PHP можно и imap-сервер
к делу приспособить, например :-), но речь-то шла не о том...
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 . Design (C) 1998 Max Smolev.
