Веб программирование

[Glorius]

К примеру, я не знаю ни одну серьезную почтовую систему с веб-интерфейсом (yandex, mail, или еще где-нибудь, где серьезно думают о безопасности) где бы выскакивало окно броузера с логином и паролем.

1. Не рассказывай мне сказки про мэйл.ру, я достаточно начитался чужих писем, ничего особенного для этого не делая ;) Самая надежная авторизация -именно через попап с двумя строчками.

Ну и как к тебе эти письма попадали? Может поделишься? В куках прочитал? Или кто-то забыл выйти. Проблема мэйл.ру в его массовости.

2. Если у клиента запрещен прием куки, тогда ЧТО?

Нужно вывесить предупреждение, о том, что нужен прием куки.

 

[zmc]

1. Не рассказывай мне сказки про мэйл.ру, я достаточно начитался чужих писем, ничего особенного для этого не делая ;) Самая надежная авторизация -именно через попап с двумя строчками.

Совершенно голословное утверждение. Чем именно такая авторизация принципиально надежнее стандартной авторизации, которая реализована в библиотеках вроде php-lib или pear, когда после пересылки логина с паролем посетителю ставится кука с ID сессии (с некоторым ограниченным сроком действия, скажем на полчаса, на тот случай, если человек отошел от комьютера и забыл сделать logout)?

2. Если у клиента запрещен прием куки, тогда ЧТО?

Собственно ничего страшного не произойдет. ID сессии в этом случае можно "прокидывать" через URL'и, правда при этом все они приобретут несколько неприглядный вид вроде
http://www.somwhere.com/index.php?sID=0c23acf4322dfeb2
Это требует лишь дополнительной работы от разработчика веб-сайта, а если пользоваться уже готовыми библиотеками, вроде той же php-lib, то и вообще никаких дополнительных усилий не понадобится.

 

[Majik13]

1. Не рассказывай мне сказки про мэйл.ру, я достаточно начитался чужих писем, ничего особенного для этого не делая ;) Самая надежная авторизация -именно через попап с двумя строчками.

Совершенно голословное утверждение. Чем именно такая авторизация принципиально надежнее стандартной авторизации, которая реализована в библиотеках вроде php-lib или pear, когда после пересылки логина с паролем посетителю ставится кука с ID сессии (с некоторым ограниченным сроком действия, скажем на полчаса, на тот случай, если человек отошел от комьютера и забыл сделать logout)?.

1. Факт, что сотню раз, вводя в окошке мэйл.ру свой логин и пароль я попадал на страницу с заголовками писем предыдущего чтеца. И это не проблемы с кэшем.
2. Куки - относительно частный случай, реален, если есть возможность использование программирования. Случай, который я выше указал, с папкой и прямым УРЛ понятен?
3. Хттп авторизация - одноразовая, PHP - авторизация для каждого скрипта (условно). Я так понимаю, что если время куки истекло, то авторизация прости прощай? Я не прав?

P.S. Я знаю, что это все все равно решается какими-то методами и работой головой, я рассматриваю недостаки в чистом виде.

2. Если у клиента запрещен прием куки, тогда ЧТО?

Собственно ничего страшного не произойдет. ID сессии в этом случае можно "прокидывать" через URL'и, правда при этом все они приобретут несколько неприглядный вид вроде http://www.somwhere.com/index.php?sID=0c23acf4322dfeb2 Это требует лишь дополнительной работы от разработчика веб-сайта, а если пользоваться уже готовыми библиотеками, вроде той же php-lib, то и вообще никаких дополнительных усилий не понадобится.

Вот-вот, речь о том и шла (лично я об этом говорил), что это и есть разница между куки и сессиями. Если куки не ставится, то сессии все равно работают.

 

[Majik13]

У нас походу немного разные понятия о надежности. Я смотрю с точки зрения сохранения информации клиента (донесения ее до сервера), а не с точки зрения использования кем-то его логина-пароля.
С моей точки зрения ХТТП - послал один раз и ты в системе. Куки с той же точки зрения менее надежны. Вот о чем я говорил.
А выход из системы - это уже другой разговор.
P.S. Кстати, в этом случае:

Собственно ничего страшного не произойдет. ID сессии в этом случае можно "прокидывать" через URL'и, правда при этом все они приобретут несколько неприглядный вид вроде http://www.somwhere.com/index.php?sID=0c23acf4322dfeb2

под дополнительной работой подразумевались скрытые поля в формах, чтобы передавать дальше айди сеанса? Если страниц много, надо же айди на каждую передавать.. или линки вручную писать.

 

[zmc]

1. Факт, что сотню раз, вводя в окошке мэйл.ру свой логин и пароль я попадал на страницу с заголовками писем предыдущего чтеца. И это не проблемы с кэшем.

Думаю, что виноваты в этом не плохие куки, а плохие программисты

2. Куки - относительно частный случай, реален, если есть возможность использование программирования. Случай, который я выше указал, с папкой и прямым УРЛ понятен?

Тут спорить трудно: нет программирования, нету и кук Кстати, по поводу твоего предыдущего сообщения: пароли в апаче шифруются с помощью стандартной C-шной функции crypt(), которая есть и в perl'е, и в php. Так что генерить файлы с паролями для апача на лету можно без проблем.

3. Хттп авторизация - одноразовая, PHP - авторизация для каждого скрипта (условно).

Чистая правда. В каждом скрипте надо ставить кусочек кода, который бы проверял эту куку.

Я так понимаю, что если время куки истекло, то авторизация прости прощай? Я не прав?

И это тоже правда. Однако время действия куки ты выбираешь сам, ставь хоть на три года Правда все эти три года любой человек с этого броузера сможет ходить на сервер под твоим логином не вводя пароля

P.S. Я знаю, что это все все равно решается какими-то методами и работой головой, я рассматриваю недостаки в чистом виде.

Все-таки, на мой взгляд, основное и практические единственное преимущество http-авторизации в том, что она не требует практически никаких усилий со стороны создателя сайта.

 

[zmc]

У нас походу немного разные понятия о надежности. Я смотрю с точки зрения сохранения информации клиента (донесения ее до сервера), а не с точки зрения использования кем-то его логина-пароля. С моей точки зрения ХТТП - послал один раз и ты в системе. Куки с той же точки зрения менее надежны. Вот о чем я говорил. А выход из системы - это уже другой разговор.

Да, я имел в виду надежность "второго рода".
Но тем не менее, механизмы кук и http-авторизации с технической точке зрения практически одинаковы.
В случае с куками: сервер отправляет броузеру куку, тот её запоминает и начинает включать её в каждый http-запрос, отправляемый серверу (или, точнее, к определенным страницам сервера, которые прописаны в параметрах куки).
В случае с http-авторизацией: в первый раз получив ответ со статусом 401 (Unauthorized) от сервера, броузер запрашивает логин/пароль у пользователя, опять-таки запоминает их, и начинает отправлять их в заголовках http-запросов к серверу.
И как тут можно говорить о большей надежности одного или другого способа "донесения информации до сервера", непонятно.

под дополнительной работой подразумевались скрытые поля в формах, чтобы передавать дальше айди сеанса? Если страниц много, надо же айди на каждую передавать.. или линки вручную писать.

Именно так, программисту надо позаботится о приписывании ID сессии ко всем ссылкам на страничках, отдаваемым залогиненому посетителю, чтобы не потерять его сессию. Не знаю, что ты имел в виду под словами "вручную писать", просто скрипт, который рисует странички на сайте, станет чуть-чуть посложнее, и все.

 

[Majik13]

1. Ок. Понял, я просто не знал, что механизм ХТТП также передает параметры в тех же запросах (хотя как же еще) =) Я не программист, просто меня этот разговор задел за живое, так как в дипломной работе пришлось с этим (авторизацией) столкнуться... Но разница в приведенных тобой примерах опять же упирается в возможность установки куки... Ладно, неважно.
2. Имел в виду что-то в духе
link?sess_id=%s
Ок. Спасибо, некоторые вещи прояснили, да я и не претендую на роль абсолютной истины ни в каких утверждениях, просто высказываюсь на основе своих знаний и опыта. Если есть еще что сказать интересного, welcome Мне по-крайней мере интересно.

 

[Majik13]

Кстати, по поводу твоего предыдущего сообщения: пароли в апаче шифруются с помощью стандартной C-шной функции crypt(), которая есть и в perl'е, и в php. Так что генерить файлы с паролями для апача на лету можно без проблем.

Вот за это отдельное спасибо =)

 

[zmc]

Кстати, по поводу твоего предыдущего сообщения: пароли в апаче шифруются с помощью стандартной C-шной функции crypt(), которая есть и в perl'е, и в php. Так что генерить файлы с паролями для апача на лету можно без проблем.

Вот за это отдельное спасибо =)

Не за что

 

[STem]

Напомните, пожалуйста, как проверить, что данные переданы скрипту методом post и никак иначе?

И ещё. Какой вид шифрованных данных более надежен (необратим), созданный функцией crypt() или md5() ?

 

[Majik13]

Напомните, пожалуйста, как проверить, что данные переданы скрипту методом post и никак иначе? И ещё. Какой вид шифрованных данных более надежен (необратим), созданный функцией crypt() или md5() ?

1) посмотреть, каким методом ты их передавал :mrgreen:

2) crypt может шифровать и используя md5
вообще хз, это надо алгоритмы подробно сравнивать.

 

[STem]

Разъяснения:
form в скрипте, method=post, а теперь внимание вопрос: как убедиться, что данные, полученные скриптом, переданы именно из этой формы и именно методом post, а не получены, скажем, из адресной строки?

Для чего это? Если скрипт принимает данные из адресной строки как свои родные, то вся система авторизации и шифрования идёт прахом, потому что пароль можно подобрать, генеря url автоматически. По-моему так.

 

[Majik13]

данные, дописанные в адресной строке - это GET,
вытаскивай данные из $HTTP_POST_VARS

 

[Anonymous]

подкиньте скрипт: есть набор сообщений, надо чтобы из них появлялось выбранное случайным образом.

 

[Anonymous]

помогите пхп под апаче 1.3.27 поставить... все "пакеты" включающие пхп скл и т д вызывают ошибку при инсталляции

 

[DrGrand]

подкиньте скрипт: есть набор сообщений, надо чтобы из них появлялось выбранное случайным образом.

создай массив, где каждая строка -- выбранный элемент. Потом с ним и работай

 

[Glorius]

Какой вид шифрованных данных более надежен (необратим), созданный функцией crypt() или md5() ?

А что значит необратим? md5, ксати - это алгоритм хеширования, который используется для вычисления контрольной суммы сообщения. Так что "зашифровав" однажды md5(), ты уже ничего не сможешь "расшифровать".

 

[Незнайка]

Есть меню, написанное на html и куча файлов, так же на html, куда его (меню) надо вставить в процессе загрузки страницы.
ВОПРОС: а как это можно сделать?
Помогите пожалста

 

[Незнайка]

Сервер может и умеет, а вот умею ли я...
А может писать в php, а потом собирать через require или include :?:

 

[Night_Elf]

Сервер может и умеет, а вот умею ли я... :oops: А может писать в php, а потом собирать через require или include :?:

ssi это тоже инклуд, только пхп не надо:

<!-- #include virtual="бла-бла.бла" -->