Комментарии к статье ""
| 21.3.2001 18:20 WEBoy [] Привет! Это конечно интересно, но ни чего нового ;(. Я вот хочу спросить, может Вы знаете, можно ли авторизировать юзера через свою форму если директория закрыта .htaccess, то есть в скрипте подставить данные в переменные $PHP_AUTH_... Подобные вопросы встречал на многих буржуйских и наших форумах, но ни где небыло ответов. зы: В большинстве текстов по защите написано, что если есть возможность авторизации средствами сервера, то не нужно изобретать лисапеды. И кстати по поводу "Возможность увидеть содержимое файлов .htaccess и .htpasswd" в апаче по умолчанию стоит директива запрещающая отдавать файлы начинающиеся с .ht Ответ DL: Вопрос, можно ли так авторизовывать, слышал, ответа - нет. Про лисапеды знаю и честно написал об этом. Про ".ht" тоже знаю. |
| 28.3.2001 12:30 Kventin [] С нетерпением жду продолжения! ...а каким образом буква "Ы" усложняет подбор хеша? Ответ DL: Её можно заменить в любой момент. И подборщик не будет знать, что там. Кстати, вместо просто одной буквы можно легко написать бессмысленну комбинацию из 10-20 букв/цифр. И такую фиг кто подберёт. Врочем, это не панацея защиты. |
| 28.3.2001 16:36 Vitaliy [] Re:WEBoy Дело в том, что если ты Дело в том, что файлы .htaccess и форма не совместимы, по двум простым причинам 1. переменные $PHP_AUTH_USER,$PHP_AUTH_PW нельзя поменять из скрипта. 2. чтобы их установить надо послать юзеру BasicRealm, что ессно не есть форма. Так что, или так или так.. Удачи. |
| 4.4.2001 21:39 Привет! [] Ребяяата!!! Я стока всего знаю, ооой... ик А Вы Знаете? Представляете!!! , оказывается можно ик... В общем представьте себе, что на самом деле можно из ик... Ну из этого..., как его? А!!! PHP4, обращаться к Муське, во! ик... А еще говорят..., неее, я точно знаю ик..., просто не совсем уверен ик... Что из PHP3 тоже можно ик.... Я правда еще точно не знаю, кхм Кто такая Муська и как именно к ней обращаться, но попробую спросить у одного ик... Товарища, вот, ну так вот, о чем это я? А! Я еще знаю!!! Ой, уже забыл ик... ик... ик... совсем забыл, ик... Я обязательно вспомню! И напишу! Если дадут... еще раз, ну написать, вот «† ®™ ‰ Њ ѓ є ±° ~$» Ответ DL: ПРИВЕТЫ!!!!! А ЧЁ Ж ТЫ НА ТРИ ДНЯ АПАЗДАЛ?! МЫ БЫ ПАПРИКАЛЫВАЛИСЯ! |
table width="100%" cellpadding="0" cellspacing="0" >
А если у меня прокси и за ним локалка спрятана ?
Ведь тогда под одним IP куча народа - выходит, что первого он впустит, а вот второго...;-(
table width="100%" cellpadding="0" cellspacing="0" >
ИМХО, вместо буквы Ы использовать IP посетителя (вариант forvarded_for, если есть). И подбор затрудняется, и при заходе с др. адреса кого-то с таким хешем в то же время - отлуп.
( У ИЕ есть такая бага - можно получть куку с известным именем даже (!!!) на другом сервере (не на том, кто её дал.))
Ответ DL:
Да, действительно. Так вообще никто не догадается :)
table width="100%" cellpadding="0" cellspacing="0" >
Очень интересно заменились ampersand и param - на знак параграфа и букву m.
Надо что-то в софте поменять, чтобы он как-то поумнее менял entities и не заменял одинарный кавычки и прочие символы на их эквиваленты. Это, конечно, не к статье а так...
А статья мне помогла, спасибо автору.
