K čemu v tomto případě používáte HTTPS protokol? Aby se nedalo odchytit heslo nebo k tomu aby byl chráněna session přihlášeného uživatele proti zneužití (Session hijacking <http://en.wikipedia.org/wiki/Session_hijacking>)? Protože pokud vám jde o to druhé, tak vámi uvedený způsob (pokud nemáte nějakou další kontrolu<http://blog.novoj.net/2007/06/05/sdileni-session-mezi-protokoly-http-a-https/>) nebude nic platný. Session cookie totiž budete mít pravděpodobně již vytvořenou od prvního requestu HTTP protokolem a tudíž bude odchytitelná. Útočník sice potom nezjistí heslo pro přihlášení, ale pokud to původní uživatel udělá za něj, bude mít k dispozici autentizovanou session díky této nechráněné cookie. Cestou je mít kompletně celý web na HTTPS, ale to generuje jistý overhead pro server, a nebo implementovat další ochrany proti odchycení session id.
Možná to máte ošetřené, ale pro jistotu upozorňuji na tuhle možnost. Honza Novotný Dne 3. červenec 2008 15:43 Karel Tejnora <[EMAIL PROTECTED]> napsal(a): > Tak to jde, protoze jsem slepej jak patrona - pro > IS_AUTHENTICATED_ANONYMOUSLY uzivatele sem si nastavil requires http a i > kdyz jsem pred to dal IS_AUTHENTICATED_FULLY requires https vracelo mne > to http. Tak sem smazal requires=http a funguje to - jenom kdyz nahodou > zmeni url na http tak si pojede dal. > ale on na to browser upozorni... > > > > -- -------------------------------------------------------------- Ing. Jan Novotný @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ http://blog.novoj.net Myšlenky dne otce Fura --------------------------------------------------------------
