про XSS нужно почитать.....

Не, я не о межсайтовом скриптинге, я о SSl-е всяком, о прослушивании портов и шифровании пакетов. Как это сделать? И стоит ли? Как вообще хакер может перехватить пару авторизации для конкретного сайта?

ну на то он SSL что безопасный

передовай пароль в md5 к примеру

к как шифровать его на стороне клиента-то?

да не ни как вроде.

тока если JS шифрованием

так же создавай сессию - передавай sesion id и поверяй реферер

с сессиями понятно - проверяю еще ip(Опционально) и юзерАгент, все с солью. Если не совпадает - предлагаю еще раз пройти авторизацию и открываю новую сессию.

а HTTP referer зачем проверять?

чтоб с формы из локальной машны данные на обработку не послали

а так ты знать будешь что именно с твоей формы данные пошли

именно в паре с session id

подделаь хост на локалке труда не составит

То есть, HTTPreferer(без строки запроса) должен равняться $_SERVER["HTTP_HOST"]?

неа

допустим стрничка ствоей формой - http://твой_сайт/форма.php
вот это и есть твой $_SERVER['HTTP_REFERER']

и именно на нй создаётся сессия - её id уникален

Все понял. Реферер же включает в себя полный урл страницы с формой, значит и эталонная переменная помимо $_SERVER["HTTP_HOST"] должна включать путь к странице с формой. Спасибо.

---
А еще вопросик, как можно защитить переменные сессии хранящиеся в кукисах браузера от доступа js-ом. Слышал о каком-то полумифическом параметре "httponly". Что это и как им пользоваться?

LRCenter
а чем вариант просто ssl не устраивает? (;

про это е знаю, неитересовался.

вопрос в другом..

как плохой человек может получит куки ?

чере дырявые формы и JS - а это опять про XSS
вот и всё

DySprozin, ну требуется, наверное дополнительный софт.

Игорь_Vasinsky
;;как плохой человек может получит куки ?
не надо забывать о троянах (; и ssl против них - лучшее лекарство, хотя и _далеко_ не панацея (;

LRCenter
сервер локальный или обычный хостинг? Если последнее, то что за хостер? (;

Хостинг любой, не хотелось бы к этому привязываться. Сервер - Апач, ОС - Linux.

А все-таки как пользоваться параметром httponly?
Куда его приткнуть при открытии сессии, и как?

LRCenter
httponly - это _всего лишь_ запрет устанавливать куки при помощи js (;

;;Хостинг любой
воот, тогда все очень просто: когда будешь брать хостинг, спроси у хостера, поддерживает ли он ssl. 99.9% хостеров (платных) поддерживают - тебе скажут: для ssl надо помещать файлы в [называют_путь]. И все!
Например, хостер скажет:
- обычный путь: /LRCenter_site/www/htdocs/
- ssl путь: /LRCenter_site/www/ssl/

ты по второму пути размещаешь свой сайт (напр. получится https://example.com), а по первому пути (это будет для сайта http://example.com) размещаешь скрипт-перенаправление на защищенный сайт. Теперь все данные с сайта и на него будут передаваться в зашифрованном виде.

Но тут есть одна тонкость: теперь пользователи, заходя на твой сайт, будут получать предупреждение, что "соединение является недоверенным". В принципе, это не страшно, шифроваться все равно все будет, просто напрягает и отпугивает (; если сайт серьезный, то стоит подумать о покупке (точнее - аренде) ssl-сертификата. Полторы штуки в год стоит самый дешевый. Тут уже все зависит от хостера - разбираться надо уже по ситуации (;

Игорь_Vasinsky, спасибо за уделенное время и разъяснения.
DySprozin, спасибо за исчерпывающий комментарий и ценный совет.

LRCenter

twin
а смысл такой функции? Где она может пригодиться?

Ну если боишься, что перехватят трафик в момент регистрации или аутентиификации, и узнают пароль - тогда.

погоди, но серверу ведь будет тогда передаваться не пароль, а хеш, так? Тогда какая разница: перехватит хацкер хеш или пароль? Или я чего-то путаю? (;

Пароль, это то, что ни кто знать не должен. Это собственность юзера.

Хэш, это то, по чему мы его аутентифицируем.
Если хацкер узнает хэш, то максимум попадет в один аккаунт. А если пароль, может и на вебмани попасть, если у юзера пароль везде один.

Зачем тебе такая ответственность?

twin, спасибо. Неслабый там код на двести строк почти. А проще это никак не сделать?

twin
спасибо за разъяснение, об этом не подумал (;

LRCenter
за все в этом мире приходится платить :Р за безопасность тоже... Хотя, ИМХО, проще уж тогда использовать аякс... twin, как считаешь?

А чем он отличается от обычных пакетов?

twin
да, только что подумал: опять получается не-клиентская сторона

Вот еще что. Не стоит так параноится. Это применяется там, где действительно важно. Платежные системы и иже с ними. Или когда заказчик параноик. На самом деле ни кто не станет перехватывать трафик на сайт Васи Пупкина. Дорого это очень.

А вообще как перехватывается трафик определенного сайта, так в общих чертах?
Получается что у большинства современных CMS типа битриксов всяких, защита на уровне сайта Васи Пупкина А ведь на основе этих CMS делают коропоративные сайты серьезные организации, банки и т.д.

Хотя наверное банки используют для платежных транзакций, специальный софт. А на CMS сделана солько публичная часть как и у сайтов обычных компаний. А так какие риски? Ну крякнут конкуренты, дефейснут или вырубят сайт(тоже неприятно, порча репутации как-никак), могут слить инфу какую-нибудь типа базы клиентов, mail-ов, служебную документацию не для чужих глаз. Тоже неприятно. Неужели перехват пакетов настолько дорог что не используется в конкурентных войнах и пром. шпионаже?

Серьёзные корпоративные сайты никогда не делают на джумлах и битриксах)))
А вообще разница невелика, на чем сайт. Важен принцип клиент-серверных взаимодействий. Применяют SSL, какое то собственное шифрование пакетов и много чего, о чем рассказывать не принято.

А перехватывается просто, как и при гитлере. Провод разрезал, свой аппарат подключил.
На самом деле придумана куча всякого добра, от банальных сниферов до перехвата спутниковых сигналов.