Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[3.19.30.232] |
|
Сообщ.
#1
,
|
|
|
на этом форуме уже было много тем о небезопасных сессиях, была даже статейка Trustmastera по этому поводу(советую прочитать, кто не читал) - Извлекаем чужие сессии в PHP
а вот нормального механизма еще никто не предлагал. Нормального - это значит простого и понятного, чтобы минимум проблем и максимум защиты. Trustmaster предупреждает, что хранить пароли в куках и сессиях нельзя, их могут стащить, но вопрос: 1. может быть их хранить там в зашифрованном виде, а потом при проверке извлекать, расшифровавать и сверять с записями в БД в таблице пользователей? (mcrypt_encrypt() и mcrypt_decrypt()) 2. Можно создать альтернативный обработчик сессий(тоже советовал Trustmaster, только не помню в какой теме) и хранить сессии в БД, чтобы информацию из них никто не смог прочитать, а туда уже записывать незашифрованный пароль например. я не силен в принципах безопасности, поэтому и возникли у меня такие вопросы. прочитав часть тем в форуме по этому поводу, я не уяснил для себя, какой способ сочитает в себе простоту в реализации и достаточную защищенность. помогите, пожалста, определиться. p.s. можно ли как-то еще защиититься от перехвата пароля при отсылке формы при регистрации нового пользователя, например? я уже говорил, что по этой теме я не спец, хотелось бы побольше узнать о том вообще какими методами можно перехватить. если кто знает ссылку, где это описано - дайте плиз. |