Hello Alex,
Что я не пойму о чем разговор. Есть такое понятие как идентификатор
сессии, который можно таскать как в куке так и в GET/POST параметрах.
и от этого идентификатора уже всю авторизацию строить.
Генерить этот ID можно по разому, у кого сколько фантазии хватает. И
если это не пульт управления ядерным оружием, то такой защиты в
общем-то достаточно.
>> AT>> принес будешь считать за правильно авторизованного ? А ежели он
>> AT>> ее украл ?
>>
>> Во-первых, если куки крадут, то и пароль нехило украсть могут :)
AT> Могут, кто бы спорил.
>> Во-вторых, почему не сделать куку годной только для оригинального IP и на
>> ограниченное время? Это решит много проблем.
AT> С IP есть такая проблема - если пользователь работает через proxy,
AT> то другой пользователь той же proxy (например ее администратор) прекрасно
AT> может заюзать чужую куку. А так - да, конечно, нужно зашивать IP
AT> В-принципе, one-time cookies могут помочь, но есть существенная вероятность
AT> что работать не будут :)
AT> Алексей Тутубалин
AT> mailto: lexa@lexa.ru
AT>
=============================================================================
AT> = Apache-Talk@lists.lexa.ru mailing list
=
AT> Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to
quit.
AT> = Archive avaliable at
=
Best regards,
Andrew Sitnikov
e-mail : sitnikov@infonet.ee
GSM : (+372) 56491109
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
