už pár dní si lámem hlavu ako takéto niečo vyriešiť s tým, aby to bolo bezpečné..
robím jeden systém teraz a mám tam trebars také sekcie ako..
login, faq a nastavenia účtu..
login a nastavenia účtu sú vždy https, zatiaľ čo faq môže, ale nemusí byť https, to sa prejavuje podľa toho či uživateľ pri logine si vybral možnosť https pre všetky sekcie..
ako identifikátor používam nejaký ten string ukladaný do DB..
v logine sa prihlási, to mu človek neodsniffuje, alebo aj áno, ale je mu to prd platné.. a potom ho zoberie na stránku http, alebo https, tu je ten problém, že človek už ten jeho identifikátor môže odsniffovať a používať pokiaľ nie je v https..
aké riešenia ma napadli..
ukladať info o uživateľovi, IP, browser, typ windowsu/*unixu atď a podľa toho vyvodzovať či ten string platí pre neho.. (hroznejšie ma asi nemohlo napadnúť : )
druhá, že.. pri logine sa vytvoria dva stringy, jeden bude určený pre http a druhý pre https.. po logine sa bude používať http string, zatiaľ čo https string bude uchovaný v cookies a nebude sa sním pracovať.. potom keď bude chcieť prejsť z faq(http) do nastavenia účtu(https), už kryptovaný https string sa vyberie a bude používať.. takto nie je šanca aby sa vlastne dostal na https sekciu.. max. na http, kde by som to kontroloval týp prvým riešením..
ale ani to nie je dostatočné..
v bezpečnosti nie som moc zdatný, teda skoro vôbec..
any ideas?
thx
