Увидел новость про безопасную авторизацию без SSL в Битриксе. Захотелось понять, есть ли на текущей момент другая альтернативная реализация авторизации без HTTPS и подобных защит.
Как выглядит минимальная авторизация на PHP+MySQL, которую можно использовать для какой-либо из страниц Битрикса, достаточно защищённая, но без предлагаемых ухищрений?
По идее, это не должно занимать больше нескольких килобайт.
Основные проблемы взлома:
1) подбор пароля - но это трудоёмко или SQL-инъекция (от них вроде бы надёжно помогают функции PHP)
2) перехват пароля при передаче по HTTP - как решается? (передавать его в виде md5(password), предварительно вычисляя это на Яваскрипте?)
3) перехват куки при передаче по HTTP - как решается? тоже передавать в куках что-то заmd5-ченное?
Просто я видел столько примеров авторизации на PHP, что встаёт вопрос - где же минималистская ЕДИНАЯ ПРАВИЛЬНАЯ СТАНДАРТНАЯ авторизация, которую сложно взломать (фактически даже при перехвате кук/пароля ничего хакер не сделает)?
К концу 2011 года уже должен существовать некий "швейцарский стандарт" авторизации без HTTPS.
Но только в книгах по PHP можно увидеть что-то более-менее нормальное, а в Сети столько примеров, что, похоже, там всё дырявое насквозь.
Может кто-то предложить минимальный скрипт авторизации на куках+сессиях (насколько я понимаю, так делается обычно), с решёнными проблемами выше - без HTTPS? (решение должно быть от гуру PHP)
P.S. Ещё есть проблемы входа на сайт под чужим именем?
Как выглядит минимальная авторизация на PHP+MySQL, которую можно использовать для какой-либо из страниц Битрикса, достаточно защищённая, но без предлагаемых ухищрений?
По идее, это не должно занимать больше нескольких килобайт.
Основные проблемы взлома:
1) подбор пароля - но это трудоёмко или SQL-инъекция (от них вроде бы надёжно помогают функции PHP)
2) перехват пароля при передаче по HTTP - как решается? (передавать его в виде md5(password), предварительно вычисляя это на Яваскрипте?)
3) перехват куки при передаче по HTTP - как решается? тоже передавать в куках что-то заmd5-ченное?
Просто я видел столько примеров авторизации на PHP, что встаёт вопрос - где же минималистская ЕДИНАЯ ПРАВИЛЬНАЯ СТАНДАРТНАЯ авторизация, которую сложно взломать (фактически даже при перехвате кук/пароля ничего хакер не сделает)?
К концу 2011 года уже должен существовать некий "швейцарский стандарт" авторизации без HTTPS.
Но только в книгах по PHP можно увидеть что-то более-менее нормальное, а в Сети столько примеров, что, похоже, там всё дырявое насквозь.
Может кто-то предложить минимальный скрипт авторизации на куках+сессиях (насколько я понимаю, так делается обычно), с решёнными проблемами выше - без HTTPS? (решение должно быть от гуру PHP)
P.S. Ещё есть проблемы входа на сайт под чужим именем?