| Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате |
| Форум программистов > Разработка под ASP.NET > Basic авторизация |
| Автор: Riccon 17.3.2009, 17:07 |
| Как-то, работая с пхп, делал Basic авторизацию для некоторой части сайта. Юзер вводит пароль, и всё работает нормально. Но глянув однажды на результат работы функции phpinfo(), я увидел в разделе PHP Variables, в значении переменной _SERVER["PHP_AUTH_PW"] тот пароль, который я ввел при Basic авторизации. Это очень полезно, когда нужно "продвинуть" пароль, скажем, для авторизации на другом сервере. Но, если на этом серваке разрешено держать сайт какому нить школьнику, который тоже использует такую авторизацию, то у него появится возможность записывать пароли пользователей, и получать доступ туда, куда не следует. Воспрс: есть ли у ASP.NET такие "предательские" фичи с двоякой полезностью, и если есть - как с этим бороться? |
| Автор: Idsa 18.3.2009, 13:41 |
| Riccon, хм... При http-запросе любые данные (будь то дата рождения или пароль) будут передаваться в открытом виде (а как иначе их на сервере распознать?). Нужна безопасность - используйте SSL (https). |