/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
apache autorisation og PHP
Fra : Henrik Stidsen


Dato : 15-06-02 14:23

Er der nogne direkte sikkerhedsproblemer ved at lade Apache stå for
bruger autorisation (via .htaccess) og så bare hive bruger navnet ind
i PHP via variablen der sættes ?

--
Henrik Stidsen | HS235-DK | Ikke eksisterende samleobjekt
http://min.hjemmeside.er.paa.http.kolon.2-x-skraastreg.susie.dk/
"These opinions are my own, though for a small fee they
be yours too." -- Dave Haynie

 
 
Christian Joergensen (15-06-2002)
Kommentar
Fra : Christian Joergensen


Dato : 15-06-02 15:20

On Sat, 15 Jun 2002 15:22:46 +0200, Henrik Stidsen wrote:
> Er der nogne direkte sikkerhedsproblemer ved at lade Apache stå for
> bruger autorisation (via .htaccess) og så bare hive bruger navnet ind i
> PHP via variablen der sættes ?

Det skulle jeg ikke mene, hvis du henter det fra $_SERVER['REMOTE_USER']
eller $_SERVER['PHP_AUTH_USER'].

--
Christian Jørgensen | Never make any mistaeks.
http://www.razor.dk |

Henrik Stidsen (15-06-2002)
Kommentar
Fra : Henrik Stidsen


Dato : 15-06-02 16:35

Christian Joergensen <mail@phpguru.dk> wrote in
news:pan.2002.06.15.14.19.46.571185.24774@phpguru.dk

>> Er der nogne direkte sikkerhedsproblemer ved at lade Apache stå
>> for bruger autorisation (via .htaccess) og så bare hive bruger
>> navnet ind i PHP via variablen der sættes ?
>
> Det skulle jeg ikke mene, hvis du henter det fra
> $_SERVER['REMOTE_USER'] eller $_SERVER['PHP_AUTH_USER'].

Godt nok, så havde jeg ret i mine antagelser ;)

--
Henrik Stidsen | HS235-DK | Ikke eksisterende samleobjekt
http://min.hjemmeside.er.paa.http.kolon.2-x-skraastreg.susie.dk/
"These opinions are my own, though for a small fee they
be yours too." -- Dave Haynie

Lars Petersen (15-06-2002)
Kommentar
Fra : Lars Petersen


Dato : 15-06-02 16:31

> Er der nogne direkte sikkerhedsproblemer ved at lade Apache stå for
> bruger autorisation (via .htaccess) og så bare hive bruger navnet ind
> i PHP via variablen der sættes ?

Det eneste der er et problem er at få folk logget ordentligt af.
Alt efter hvilken browser de bruger, kan det være nødvendigt for brugeren
at lukke browseren for at være logget "rigtigt" af.
Med IE og Mozilla kan man logge folk af ved at sende et forkert
brugernavn/password...


--
-
Lars
http://coder.dk/sohofaq.php - Uofficiel WOL SOHO 77 FAQ
http://wshlman.moons.dk/ - Say goodbye to GameSpy - A Free Half Life
Manager!
To mail me remove your-pants.



Henrik Stidsen (15-06-2002)
Kommentar
Fra : Henrik Stidsen


Dato : 15-06-02 16:36

"Lars Petersen" <lp@your-pants.coder.dk> wrote in
news:Q4JO8.53992$N46.1781429@news010.worldonline.dk

> Det eneste der er et problem er at få folk logget ordentligt af.
> Alt efter hvilken browser de bruger, kan det være nødvendigt for
> brugeren at lukke browseren for at være logget "rigtigt" af.

Ja det sidder jeg og bøvler lidt med lige nu...

> Med IE og Mozilla kan man logge folk af ved at sende et forkert
> brugernavn/password...

...sende et forkert password ? - hvordan ?

--
Henrik Stidsen | HS235-DK | Ikke eksisterende samleobjekt
http://min.hjemmeside.er.paa.http.kolon.2-x-skraastreg.susie.dk/
"These opinions are my own, though for a small fee they
be yours too." -- Dave Haynie

Lars Petersen (15-06-2002)
Kommentar
Fra : Lars Petersen


Dato : 15-06-02 23:50

> ..sende et forkert password ? - hvordan ?

F.eks: http://bruger:password@server.dk/beskyttet/

--
-
Lars
http://coder.dk/sohofaq.php - Uofficiel WOL SOHO 77 FAQ
http://wshlman.moons.dk/ - Say goodbye to GameSpy - A Free Half Life
Manager!
To mail me remove your-pants.



Henrik Stidsen (16-06-2002)
Kommentar
Fra : Henrik Stidsen


Dato : 16-06-02 13:22

"Lars Petersen" <lp@your-pants.coder.dk> wrote in
news:MwPO8.57177$N46.1829275@news010.worldonline.dk

>> ..sende et forkert password ? - hvordan ?
>
> F.eks: http://bruger:password@server.dk/beskyttet/

nå på den måde ;)
Det virker, men for "optimal" brug er det nok smart ikke at sende til
en adresse i det beskyttede område da der jo så kommer en pop-up boks
til at skrive password i.

Er der nogen ideer til hvordan man får det til at virke i Opera ?

--
Henrik Stidsen | HS235-DK | Ikke eksisterende samleobjekt
http://min.hjemmeside.er.paa.http.kolon.2-x-skraastreg.susie.dk/
"These opinions are my own, though for a small fee they
be yours too." -- Dave Haynie

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste