[Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю

Nikolay A. Fetisov naf на naf.net.ru
Ср Окт 27 15:17:20 UTC 2010


В Втр, 26/10/2010 в 19:19 +0300, Dank Bagryantsev пишет:
> ...
> Возможно ли каким-либо способом посылать логины-пароли при входе на
> сайты, но чтобы пользователь не мог их узнать? (или как минимум пароль).

Самое простое: если не хотите, чтобы пользователи вводили пароли -
вводите их сами. 
Включите запоминание паролей в браузере - при следующем входе
пользователю не надо будет ничего вводить, и знать пароль ему тоже
не будет нужно. Захочет ли кто из пользователей специально прикладывать
усилия, чтобы вытащить пароль из базы браузера - зависит от квалификации
пользователей и ценности учётных данных.


> Пока у меня мысли, чтобы установить какую-то промежуточную вещь между
> пользователями и сайтами. ....

Например, nginx.
Перехватить обращение к сайту (или локально изменить DNS, или
перенаправлением на шлюзе), переслать на nginx. Там всё, кроме страницы
авторизации, запрашивать с оригинального сервера, страницу авторизации
перенаправлять на свою заглушку.
Хотя такие действия подпадают под man-in-the-middle, и насколько легко
можно обмануть конкретный сайт - зависит от сайта, от наличия SSL, и
т.п.


-- 
С уважением,
Николай Фетисов




Подробная информация о списке рассылки Sysadmins