Prosim o radu, jak vytvorit stranky se zabezpeceni. Nemyslim ted klasicke jednoduche zabezpeceni, ale aby bylo bezpecnejsi. Normalne pouzivam tyto promeny:
session_start();
session_register();
session_unregister();
Napriklad kdyz se prihlasuji na webzdarma, objevi se hlaska s cerfitikatem a myslim i sifrovani. Nebo napr. pri prihlaseni do banky naskoci hlaska o bezpecnejsim pripojeni.
Jak tedy vytvorit stranky z vyzsim stupnem zabezpeceni?
Dekuji za pomoc
Na WZ není https. Ovšem toto je freehosting, takže by mě zajímalo, jaká data musí být "zabezpečena vyšším stupněm". Banka je rozhodně jiný kalibr než WZ. Co je na sessions nedostatečně bezpečněho?
Řešení: placený hosting nebo vlastní server.
placeny hosting mam, prave na tom to chci vytvorit.
Ale neni tam https, ale pouze http.
Chci vytvorit aukcni stranky a tam bych potreboval, aby ty data byla lepe chranena.
Diky za odpoved
Odpověď na co? Nebyla tam žádná otázka.
Pokud na placeném hostingu neni https, je pravděpodobně třeba kontaktovat provozovatele, nebo si vybrat jiný hosting.
Opakuji řešení: POŘÁDNÝ placený hosting nebo vlastní server. Pokud má jít o solidní aukční server, přece není problém mít vlastní server. Tam si člověk nainstaluje, co potřebuje a nemusí mít obavu o diskrétnost dat (umí-li si jej zabezpečit).
Kdyz neni pritomna zabezpecena verze SSL (HTTPS), tak je jedina moznost prave session. Jelikoz se data posilaji nezasifrovana, tak bych se pokusil omezit posilani citlivych dat, jakym jsou treba heslo. Pri prihlaseni se hesla nezbavime, ale po celou dobu relace je dobre posilat heslo jedine zasifrovane treba pomoci MD5, SHA1, nebo ukladat do session. Session ma prave tu vyhodu, ze pracuje pouze na serveru, takze obsah session se nedostane ven.
"Pri prihlaseni se hesla nezbavime" A co challenge / response?
"ale po celou dobu relace je dobre posilat heslo jedine zasifrovane treba pomoci MD5, SHA1" Jaký to má význam? Kdo zachytí hash, přihlásí se. Na ověření trvání relace je tady session.
"nebo ukladat do session" Heslo ukládat do session? Proč?
ukládat heslo do sessions? omg!
2 Tomík: :-)
ja teda v sessionech nikdy nepotrebovaval nechavat vic nez id prihlaseneho uzivatele, a informace o jazyku ci o vzhledu stranky.
Placenej hosting bez SSL(TLS) musí bejt dobrej šmejd...
Bez SSL3+(TLS1+) je použití sessions taky na dvě věci. To když už, tak Digest authentizace (v Apache odjakživa, v PHP od verze 5.1.0).
Ostatně některý placený "hostingy" mě fascinujou, kdy nepodporujou ani šifrovaný FTP (např. největší Active24, kterej tim hřeší jenom na zákazníky "konzervy", který se na podobných serverech zakonzervujou a řádově jiná kvalita dalších hostingů, který neskončily v pravěku, je už pak nezajímá - nicméně ostatní by si o ně ani kolo neopřeli...).
A dále...
http://www.webzdarma.cz/forum/read.php?f=6&i=39213&t=39123
Jak už jsem psal. Když nemám SSL, tak ani přenos hashovaného hesla (Digest autentizace) mi nepomůže, protože kdo zachytí hash, přihlásí se.
V tomto případě bych volil techniku challenge / response pro přihlašování. A pak session.
Neplést si Digest authentizaci s jednoduchým zahashováním hesla...
http://www.webzdarma.cz/forum/read.php?f=6&i=16165&t=15055