Hello Alex,
Что я не пойму о чем разговор. Есть такое понятие как идентификатор
сессии, который можно таскать как в куке так и в GET/POST параметрах.
и от этого идентификатора уже всю авторизацию строить.
Генерить этот ID можно по разому, у кого сколько фантазии хватает. И
если это не пульт управления ядерным оружием, то такой защиты в
общем-то достаточно.
>> AT>> принес будешь считать за правильно авторизованного ? А ежели он
>> AT>> ее украл ?
>>
>> Во-первых, если куки крадут, то и пароль нехило украсть могут :)
AT> Могут, кто бы спорил.
>> Во-вторых, почему не сделать куку годной только для оригинального IP и на
>> ограниченное время? Это решит много проблем.
AT> С IP есть такая проблема - если пользователь работает через proxy,
AT> то другой пользователь той же proxy (например ее администратор) прекрасно
AT> может заюзать чужую куку. А так - да, конечно, нужно зашивать IP
AT> В-принципе, one-time cookies могут помочь, но есть существенная вероятность
AT> что работать не будут :)
AT> Алексей Тутубалин
AT> mailto: lexa@xxxxxxx
AT> =============================================================================
AT> = Apache-Talk@xxxxxxxxxxxxx mailing list =
AT> Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
AT> = Archive avaliable at http://www.lexa.ru/apache-talk =
Best regards,
Andrew Sitnikov
e-mail : sitnikov@xxxxxxxxxx
GSM : (+372) 56491109
=============================================================================
= Apache-Talk@xxxxxxxxxxxxx mailing list =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
= Archive avaliable at http://www.lexa.ru/apache-talk =
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 . Design (C) 1998 Max Smolev.
