OT: Jak provozovat http a heslo hnat pres https?
Jirka Kosek
jirka na kosek.cz
Úterý Březen 20 22:34:59 CET 2001
Martin `MJ' Mares wrote:
> > Udělat to můžete, stačí uživateli přidělit nějaký jednoznačný a těžko
> > uhodnutelný identifikátor a na webovém servru se pod tímto
> > identifikátorem pamatovat, zda se jemu odpovídající uživatel již
> > přihlásil. Identifikátor můžete mezi chráněnou a nechráněnou zónu webu
> > přenášet např. v parametrech v URL.
>
> Čímž ovšem pracně nabytou bezpečnost šmahem ztratím, protože kdo mohl
> předtím odposlouchávat při přenosu hesla, může nyní odposlechnout
> tento identifikátor a škodit mi úplně stejně, ne?
To ano, ale identifikátor se obvykle generuje po každém přihlášení nový
a má určitou maximální dobu platnosti, takže doba, kdy ho lze zneužít je
nesrovnatelně menší než při odposlechnutí hesla. Rozhodně to není
bezpečné, ale pro mnoho aplikací to může stačit.
-----------------------------------------------------------------
Jirka Kosek
e-mail: jirka na kosek.cz
http://www.kosek.cz
Další informace o konferenci Linux