Какая авторизация лучше с точки зрения безопасности?

walder

Средствами веб-сервера (с вылетающим окошком) или обычная, написанная на PHP?

ava3443

Если предположить, что ты хотел спросить не про авторизацию, а про аутентификацию и имел ввиду под средствами веб-сервера BASIC аутентификацию, под "обычной, написанной на PHP" - FORM-based, то стоит помнить о следующем:
1) и то, и другое хреново без HTTPS, потому что пароль в открытом виде пересылается
2) реализовать возможность logout при BASIC аутентификации - непросто

Hastya

Я видел код на JavaScript, который на странице login сам вычисляет digest и пересылает его серверу. Подход довольно любопытный, правда требует поддержки javascript браузером.

ava3443

Если этот digest ещё и не просто по паролю вычисляется, а по паролю + чему-нибудь одноразовому, выданному сервером, то ещё лучше...
Кстати, интересно - сейчас уже все браузеры поддерживают DIGEST аутентификацию, или нет?

Hastya

Ну естессно, сначала передается случайный неповторяющийся токен, иначе можно digest передавать так же как пароль.
Digest на уровне HTTP многими браузерами поддерживается, но неудобен по причине отсутствия контроля со стороны сервера. Поэтому обычно пользуются сессиями и HTTPS - это уже достаточно хороший уровень security.
Оставить комментарий
Имя или ник:
Комментарий: