Безопасная аутентификация без SSL
Вот подход с помощью tbody элементы, которые могли быть способом сделать это. Вы не можете установить границу на tbody (то же, поскольку Вы не можете на TR), но можно выбрать цвет фона. Если эффект, которого Вы желаете достигнуть, может быть получен с цветом фона на группах строк вместо границы, это будет работать.
<table cellspacing="0">
<tbody>
<tr>
<td>no border</td>
<td>no border here either</td>
</tr>
<tbody bgcolor="gray">
<tr>
<td>one</td>
<td>two</td>
</tr>
<tr>
<td>three</td>
<td>four</td>
</tr>
<tbody>
<tr>
<td colspan="2">once again no borders</td>
</tr>
<tbody bgcolor="gray">
<tr>
<td colspan="2">hello</td>
</tr>
<tbody>
<tr>
<td colspan="2">world</td>
</tr>
</table>
3 ответа
Вы можете безопасно аутентифицироваться без необходимости реализации защиты от подслушивания. Например, вы можете запретить другим отправлять запросы, даже если они могут читать содержимое ваших запросов. Если вам нужно защитить себя от подслушивания, я бы рекомендовал просто пойти туда, где можно использовать SSL.
Если вам просто нужна простая аутентификация без реальной безопасности, ваш провайдер, вероятно, будет поддерживать HTTP Basic. Это (наряду с хорошим дизайном, ограничивающим возможности и резервное копирование;) - разумное временное решение, пока вы беспокоитесь о других проблемах.
Для аутентификации вашей личности OpenID не может быть воспроизведен. Каждая последовательность аутентификации подписана. Однако сам по себе OpenID позволяет только установить вашу личность с сервером. Это не позволит вам подписать или иным образом подтвердить подлинность запроса. OAuth мог бы, но для части протокола он требует транспортного шифрования.
Вы можете подписывать каждый запрос общим секретом. Это предотвратит отправку или повторение запроса злоумышленником, но сами запросы все еще могут быть прочитаны перехватчиком. См. Документацию по аутентификации Amazon AWS (включая клиентские библиотеки) или аутентификации flickr. Базовый протокол:
- требуется метка времени (и, вероятно, одноразовый номер), поскольку параметры запроса
- нормализуют, сортируют, объединяют все параметры запроса
- объединяют с URI, хостом, командой и т. Д.
- хеш с секретным ключом
- отправить хеш в заголовке с запросом
- сервер делает то же самое и сравнивает подпись
Если вы зарегистрируете удаленный IP-адрес в сеансе, его невозможно перехватить. Кто-то пытается использовать сеанс с другим IP-адресом, может быть легко обнаружен. Сеансы PHP используют это по умолчанию (и я думаю, что это не опция). Простое и эффективное решение.
Если вы подходите к этому как к интересному способу поиграть с различными методами аутентификации и шифрования, это здорово, но самое дешевое и простое решение - получить хост, на котором вы можете установить SSL. сертификат.