On Wed, 19 Dec 2001, Alex Tutubalin wrote:
AT> > AT> Вот имянно. Потому как случаев авторизации через куки, да так чтобы
AT> > AT> еще какой-нибудь mod_perl в этом не участвовал я что-то не припомню
AT> > AT> в своей практике :)
AT> >
AT> > А тут все достаточно просто: минимально нагрузив сервер, сделать обращения
AT> > к authenticating engine максимально более редкими (в идеале, одно на
AT> > сессию)
AT> Какую, к лешему, сессию. Ты что, каждого кто правильную куку принес
AT> будешь считать за правильно авторизованного ? А ежели он ее украл ?
Так она ж будет уникальна для: IP address, HTTP_USER_AGENT, username, Via,
если поверх SSL - то еще и SSL_SESSION_ID.
плюс действовать типа десять-двадцать минут. Ну и, разумеется,
хешированная односторонне.
Риск некий остается, но, как мне кажется, некими разумными precausions его
можно разумно же минимизировать.
Sincerely,
D.Marck [DM5020, DM268-RIPE, DM3-RIPN]
------------------------------------------------------------------------
*** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- marck@xxxxxxxx ***
------------------------------------------------------------------------
=============================================================================
= Apache-Talk@xxxxxxxxxxxxx mailing list =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
= Archive avaliable at http://www.lexa.ru/apache-talk =
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 . Design (C) 1998 Max Smolev.
