|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (9)
просмотр истории страницы| Для безопасности авторизации в личном кабинете без использования SSL используется следующий алгоритм: |
| h2. Алгоритм работы авторизации в личном кабинете и веб-авторизации |
| |
| 1. При SSL пароль передается в текстовом виде 2. Без SSL. Для безопасности авторизации в личном кабинете без использования SSL используется следующий алгоритм: |
| # В cabinet.php в функции \__show_login генерируется случайное слово. |
| # В login.php оно случайное слово выводится в скрытое поле |
| # При нажатии кнопки "Вход" генерируется md5sum от пароля и случайного слова и выводится в скрытое поле # Содержимое поля с паролем стирается # cabinet.php в функции \__login получает md5sum, случайное слово, логин, пустое поле пароля и ip адрес пользователя, передает их в процедуру firebird web_user_login2 |
| # Содержимое поля "пароль" стирается, при нажатии кнопки "Вход" Javascript генерирует хэш от пароля + случайного слова и выводит его в скрытое поле # Логин и хэш передаются в процедуру на стороне сервера |
| # в В процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера |
| # если получилось, то пользователь считается авторизованным |
| # Если хэши совпадают, то пользователь авторизуется 3. Если включен режим "входить в кабинет без авторизации" , то авторизация происходит по IP адресу пользователя и требуется гарантировать защиту от подстановки средствами оборудования локальной сети\!. Такой типа авторизации не работает для администраторов. h2. Настройка входа без SSL Инструкция подходит для версии 3.8 с пересортированным меню. В меню веб-сервер !1.png|border=1! имеется опция "Просмотр статистики только через SSL" !2.png|border=1! После её выключения сохраните настройки и произведите мягкую перезагрузку. |