Алгоритм работы авторизации в личном кабинете и веб-авторизации
1. При SSL пароль передается в текстовом виде
2. Без SSL. Для безопасности авторизации в личном кабинете без использования SSL используется следующий алгоритм:
- В cabinet.php в функции __show_login генерируется случайное слово.
- В login.php случайное слово выводится в скрытое поле
- Содержимое поля "пароль" стирается, при нажатии кнопки "Вход" Javascript генерирует хэш от пароля + случайного слова и выводит его в скрытое поле
- Логин и хэш передаются в процедуру на стороне сервера
- В процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
- Если хэши совпадают, то пользователь авторизуется
3. Если включен режим "входить в кабинет без авторизации" , то авторизация происходит по IP адресу пользователя и требуется гарантировать защиту от подстановки средствами оборудования локальной сети!. Такой типа авторизации не работает для администраторов.
Настройка входа без SSL
Инструкция подходит для версии 3.8 с пересортированным меню.
В меню веб-сервер
имеется опция "Просмотр статистики только через SSL"
После её выключения сохраните настройки и произведите мягкую перезагрузку.