Пишу аутентификацию на сайт, в первый раз. Ерунда какая-то получается. Сделано так: проверяется ID сессии из куки, если нету — рисуем форму логина, если есть — даем доступ к админскому интерфейсу. Логин и админка соответственно написаны в двух разных CGI-ках, которые в нужном месте включаются через SSI. Прикол вот в чем: если я набираю в строке браузера путь, по которому находится CGI-ка с админским интерфейсом, я и так получаю доступ к адменке безо всякой аутентификации.
А как сделать защиту от такого безобразия?
Здравствуйте, Аноним, Вы писали:
А>Пишу аутентификацию на сайт, в первый раз. Ерунда какая-то получается. Сделано так: проверяется ID сессии из куки, если нету — рисуем форму логина, если есть — даем доступ к админскому интерфейсу. Логин и админка соответственно написаны в двух разных CGI-ках, которые в нужном месте включаются через SSI. Прикол вот в чем: если я набираю в строке браузера путь, по которому находится CGI-ка с админским интерфейсом, я и так получаю доступ к адменке безо всякой аутентификации. А>А как сделать защиту от такого безобразия?
А следать на основе одного из миллионов web фремворков не судьба было, в большинстве из них все слелано для этого? -1 за велосипедостроительство.
А так сделай чтоб все входящие запросы сначала попадали на CGI логина и в зависимости от того аутентифицирован пользователь или нет рисовалась страница логина или запрос переадресовывался (не 302) на админскую CGI. Можно и наоборот...
Здравствуйте, Аноним, Вы писали:
А>Пишу аутентификацию на сайт, в первый раз. Ерунда какая-то получается. Сделано так: проверяется ID сессии из куки, если нету — рисуем форму логина, если есть — даем доступ к админскому интерфейсу. Логин и админка соответственно написаны в двух разных CGI-ках, которые в нужном месте включаются через SSI. Прикол вот в чем: если я набираю в строке браузера путь, по которому находится CGI-ка с админским интерфейсом, я и так получаю доступ к адменке безо всякой аутентификации. А>А как сделать защиту от такого безобразия?
В скрипте админки добавь проверку на ID сессии из куки
Re[2]: Аутетнификация
От:
Аноним
Дата:
10.07.09 07:03
Оценка:
Здравствуйте, Mikhail Polykovsky, Вы писали:
MP>Здравствуйте, Аноним, Вы писали:
А>>Пишу аутентификацию на сайт, в первый раз. Ерунда какая-то получается. Сделано так: проверяется ID сессии из куки, если нету — рисуем форму логина, если есть — даем доступ к админскому интерфейсу. Логин и админка соответственно написаны в двух разных CGI-ках, которые в нужном месте включаются через SSI. Прикол вот в чем: если я набираю в строке браузера путь, по которому находится CGI-ка с админским интерфейсом, я и так получаю доступ к адменке безо всякой аутентификации. А>>А как сделать защиту от такого безобразия?
MP>В скрипте админки добавь проверку на ID сессии из куки
Наверно это хорошее решение. А административными мерами это никак не решается?
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Mikhail Polykovsky, Вы писали:
MP>>Здравствуйте, Аноним, Вы писали:
А>>>Пишу аутентификацию на сайт, в первый раз. Ерунда какая-то получается. Сделано так: проверяется ID сессии из куки, если нету — рисуем форму логина, если есть — даем доступ к админскому интерфейсу. Логин и админка соответственно написаны в двух разных CGI-ках, которые в нужном месте включаются через SSI. Прикол вот в чем: если я набираю в строке браузера путь, по которому находится CGI-ка с админским интерфейсом, я и так получаю доступ к адменке безо всякой аутентификации. А>>>А как сделать защиту от такого безобразия?
MP>>В скрипте админки добавь проверку на ID сессии из куки
А>Наверно это хорошее решение. А административными мерами это никак не решается?
Что такое "административные меры"? Распоряжение по фирме чтоли?
Re[4]: Аутетнификация
От:
Аноним
Дата:
10.07.09 08:09
Оценка:
Здравствуйте, Mikhail Polykovsky, Вы писали:
А>>Наверно это хорошее решение. А административными мерами это никак не решается?
MP>Что такое "административные меры"? Распоряжение по фирме чтоли?
Ну права там на доступ к файлам, разрешить доступ только с определенного айпишника (самому веб-серверу можно читать файлы, а всем остальным с вшених адресов — нет)?
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Mikhail Polykovsky, Вы писали:
А>>>Наверно это хорошее решение. А административными мерами это никак не решается?
MP>>Что такое "административные меры"? Распоряжение по фирме чтоли?
А>Ну права там на доступ к файлам, разрешить доступ только с определенного айпишника (самому веб-серверу можно читать файлы, а всем остальным с вшених адресов — нет)?
MP>Нет
Почему нет? Да. Есть же deny и allow, я думаю, их можно тут использовать.
Да здравствует мыло душистое и веревка пушистая.
Re[6]: Аутетнификация
От:
Аноним
Дата:
17.07.09 09:15
Оценка:
Здравствуйте, Mikhail Polykovsky, Вы писали:
А>>Ну права там на доступ к файлам, разрешить доступ только с определенного айпишника (самому веб-серверу можно читать файлы, а всем остальным с вшених адресов — нет)?
MP>Нет
Не зря всегда был очень низкого мнения о квалификации веб-программистов. Даже я, хотя очень мало занимался версткой, за двадцать секунд нарыл в нете что это можно сделать с помощью .htaccess. Более того — это одна из вещей, для которых он предназначен.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Mikhail Polykovsky, Вы писали:
А>>>Ну права там на доступ к файлам, разрешить доступ только с определенного айпишника (самому веб-серверу можно читать файлы, а всем остальным с вшених адресов — нет)?
MP>>Нет
А>Не зря всегда был очень низкого мнения о квалификации веб-программистов. Даже я, хотя очень мало занимался версткой, за двадцать секунд нарыл в нете что это можно сделать с помощью .htaccess. Более того — это одна из вещей, для которых он предназначен.
Мдя, если ты дебил, то это надолго
Определись пожалуйста, что тебе надо, статический файлы по ip скрыть (конечно же htaccess так умеет) или "проверяется ID сессии из куки, если нету — рисуем форму логина, если есть — даем доступ к админскому интерфейсу." Второе силами htaccess не делается никак, не надо лапшу на уши вешать.
Здравствуйте, Vamp, Вы писали:
MP>>Нет V>Почему нет? Да. Есть же deny и allow, я думаю, их можно тут использовать.
Топикстартер сам не знает, чего хочет, а потом удивляется "неправильным ответам"
Re[8]: Аутетнификация
От:
Аноним
Дата:
18.07.09 07:09
Оценка:
Здравствуйте, Mikhail Polykovsky, Вы писали:
MP>Здравствуйте, Vamp, Вы писали:
MP>>>Нет V>>Почему нет? Да. Есть же deny и allow, я думаю, их можно тут использовать.
MP>Топикстартер сам не знает, чего хочет, а потом удивляется "неправильным ответам"
Топикстартер знает чего хочет. Топикстартер уже разобрался самостоятельно и сделал то что ему было нужно. Перенес админку из отдельного скрипта в скрипт диспетчера (убрал отдельный скрипт, отвечающий за админский веб-интерфейс).
Благодарю за помощь.
Сообщение про .htaccess конечно же было в тему про сокрытие файла от просмотра. Перепутал топики.
Здравствуйте, Mikhail Polykovsky, Вы писали:
А>>Не зря всегда был очень низкого мнения о квалификации веб-программистов. Даже я, хотя очень мало занимался версткой, за двадцать секунд нарыл в нете что это можно сделать с помощью .htaccess. Более того — это одна из вещей, для которых он предназначен.
MP>Мдя, если ты дебил, то это надолго
Здравствуйте, opener, Вы писали:
O>Здравствуйте, Mikhail Polykovsky, Вы писали:
А>>>Не зря всегда был очень низкого мнения о квалификации веб-программистов. Даже я, хотя очень мало занимался версткой, за двадцать секунд нарыл в нете что это можно сделать с помощью .htaccess. Более того — это одна из вещей, для которых он предназначен.
MP>>Мдя, если ты дебил, то это надолго
O>Ты за базаром следи, вебкодер сраный.
Здравствуйте, Mikhail Polykovsky, Вы писали:
MP>Здравствуйте, opener, Вы писали:
O>>Здравствуйте, Mikhail Polykovsky, Вы писали:
А>>>>Не зря всегда был очень низкого мнения о квалификации веб-программистов. Даже я, хотя очень мало занимался версткой, за двадцать секунд нарыл в нете что это можно сделать с помощью .htaccess. Более того — это одна из вещей, для которых он предназначен.
MP>>>Мдя, если ты дебил, то это надолго
O>>Ты за базаром следи, вебкодер сраный.
MP>Мальчик, иди отдохни. Сюда тебя никто не звал.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Mikhail Polykovsky, Вы писали:
А>>>Ну права там на доступ к файлам, разрешить доступ только с определенного айпишника (самому веб-серверу можно читать файлы, а всем остальным с вшених адресов — нет)?
MP>>Нет
А>Не зря всегда был очень низкого мнения о квалификации веб-программистов. Даже я, хотя очень мало занимался версткой, за двадцать секунд нарыл в нете что это можно сделать с помощью .htaccess. Более того — это одна из вещей, для которых он предназначен.
Да, действительно, веб-программеры — ребята те еще. Прости, что я влез в эту тему. Постараюсь в дальнейшем избегать.
Здравствуйте, opener, Вы писали:
O>Здравствуйте, Mikhail Polykovsky, Вы писали:
А>>>Не зря всегда был очень низкого мнения о квалификации веб-программистов. Даже я, хотя очень мало занимался версткой, за двадцать секунд нарыл в нете что это можно сделать с помощью .htaccess. Более того — это одна из вещей, для которых он предназначен.
MP>>Мдя, если ты дебил, то это надолго
O>Ты за базаром следи, вебкодер сраный.
Прости, друг, погорячился я. Обидно все же такое слышать. Но в данном случае да, я был неправ, поленился понять, что нужно топикстартеру на самом деле. Надеюсь, он на меня не в обиде.
Здравствуйте, Mikhail Polykovsky, Вы писали:
MP>Здравствуйте, opener, Вы писали:
MP>Прости, друг, погорячился я. Обидно все же такое слышать. Но в данном случае да, я был неправ, поленился понять, что нужно топикстартеру на самом деле. Надеюсь, он на меня не в обиде.
Извини что сорвался. Мне стыдно за то что я написал.
Здравствуйте, opener, Вы писали:
O>Здравствуйте, Mikhail Polykovsky, Вы писали:
MP>>Здравствуйте, opener, Вы писали:
MP>>Прости, друг, погорячился я. Обидно все же такое слышать. Но в данном случае да, я был неправ, поленился понять, что нужно топикстартеру на самом деле. Надеюсь, он на меня не в обиде.
O>Извини что сорвался. Мне стыдно за то что я написал.
Здравствуйте, vadimcher, Вы писали:
O>>Извини что сорвался. Мне стыдно за то что я написал. V>Офигеть! Первый раз такое вижу...
Едут два кавбоя по прерии. Кавбои Дзон говорит.
-Бил спорим на доллар что я сием эту кучу говна.
Поспорили. Дзон сиел и получил доллор.
Едут они дальше Биллу стало обидно чот он проиграл доллар.
Он говорит Дзону.
-Спорим на доллар что я сием вон ту кучу говна.
Поспорили. Сиел. Билл получил доллар и говорит.
-Дзон тебе ни кажется что мы за зря говна наелись.
