А откуда это я мог удалить? Где это должно быть? На всех страницах?
03.12.2011 18:13:04
Хорошо, тогда вопрос такой: если авторизация у Битрикса безопасная, то как решается вопрос передачи кук по HTTP? Их же могут перехватить и войти под этим пользователем. Это похоже на паранойю насчёт безопасности, но в таких делах компромиссов быть не может. Я так и не понял, как решается проблема перехвата данных из кук, например.
|
|
|
01.12.2011 23:53:28
Она устраивает, но для конкретной цели надо сделать авторизацию легче.
Вопрос относится к сравнению битриксовской авторизации и других методов. Чтобы понять, можно ли сделать безопасную авторизацию без методов Битрикса (а это по идее должно быть можно) или только Битрикс. Всё познается в сравнении. Если будет выяснено, что можно сделать авторизацию без специального шифрования и с хорошей безопасностью, то для данной цели можно обойтись другой. Если нет, то буду использовать авторизацию Битрикса, если она имеет открытый код. Просто мне стало действительно важно, что каждый день авторизуешься на форумах и других сайтах, а если могут увести куки или сделать что-то аналогичное, как люди-то до сих пор живут? |
|
|
01.12.2011 14:54:33
Увидел новость про безопасную авторизацию без SSL в Битриксе. Захотелось понять, есть ли на текущей момент другая альтернативная реализация авторизации без HTTPS и подобных защит.
Как выглядит минимальная авторизация на PHP+MySQL, которую можно использовать для какой-либо из страниц Битрикса, достаточно защищённая, но без предлагаемых ухищрений? По идее, это не должно занимать больше нескольких килобайт. Основные проблемы взлома: 1) подбор пароля - но это трудоёмко или SQL-инъекция (от них вроде бы надёжно помогают функции PHP) 2) перехват пароля при передаче по HTTP - как решается? (передавать его в виде md5(password), предварительно вычисляя это на Яваскрипте?) 3) перехват куки при передаче по HTTP - как решается? тоже передавать в куках что-то заmd5-ченное? Просто я видел столько примеров авторизации на PHP, что встаёт вопрос - где же минималистская ЕДИНАЯ ПРАВИЛЬНАЯ СТАНДАРТНАЯ авторизация, которую сложно взломать (фактически даже при перехвате кук/пароля ничего хакер не сделает)? К концу 2011 года уже должен существовать некий "швейцарский стандарт" авторизации без HTTPS. Но только в книгах по PHP можно увидеть что-то более-менее нормальное, а в Сети столько примеров, что, похоже, там всё дырявое насквозь. Может кто-то предложить минимальный скрипт авторизации на куках+сессиях (насколько я понимаю, так делается обычно), с решёнными проблемами выше - без HTTPS? (решение должно быть от гуру PHP) P.S. Ещё есть проблемы входа на сайт под чужим именем? |
|
|
29.07.2009 17:42:49
У меня 2 Битрикса на localhost - под портами 6448 и 6449. Скрипт на первом вызывает скрипт на втором, и появляется через 30 секунд следующее:
Warning: fopen( Что это за ошибка и что можно сделать? При том, что вчера все работало, и этого не было. |
|
|
03.07.2009 19:54:37
Столкнулся с проблемой перекодировок с исп. старого Битрикса.
Нужна абсолютно проверенная функция для перекодировки из UTF-8 в Windows-1251 без доп. установок в PHP. Наткнулся тут на одну, выяснилось, что не передает нек. символы &*()-+\_=|[];':/. Нужен код функции. Либо помогите установить iconv.dll на 4.3.3 версию PHP - неразбериха с ее установкой - нигде нет нормального файла P.S. Даже стандартные iconv и mb_convert_encoding не работают нормально с этими символами! |
|
|
10.06.2009 00:53:04
Установил Битрикс 8.0 Стандарт. Пробую сделать скрипт на php в папке www с таким использованием file_get_contents:
$code=file_get_contents("http://..."); Пишет ошибку URL file-access is disabled in the server configuration in ... Исправление в php.ini не помогает, а при перезапуске сервера этот файл опять становится таким, как был. То есть в Битриксе это запрещено совсем? |
|
|