The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Надежность аутентификации по сертификату в httpd"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Авторизация и аутентификация)
Изначальное сообщение [ Отслеживать ]

"Надежность аутентификации по сертификату в httpd"  +/
Сообщение от MarvinD (ok) on 27-Окт-16, 12:04 
Изучаю вопрос замены запроса логин/пароль при авторизации на странице php с логин/пароль на запрос сертификата. Насколько я понимаю, после того, как httpd принял сертификат пользователя, можно в полной мере доверять переменным $_SERVER[SSL_CLIENT_*], полученным от сертификата? Ну там [SSL_CLIENT_S_DN_CN] в качестве username, [SSL_CLIENT_I_DN_Email] в качестве email и прочее (там уж по желанию).

Ошибиться нельзя, т.к. в данном случае я не просто разрешаю/отклоняю доступ к какой-то директории на сервере, а пускаю пользователя на основании данных от его сертификата к его переписке.

Я правильно понимаю, что эти переменные ($_SERVER[SSL_CLIENT_*]) подделать нельзя, они устанавливаются только если сервер признал сертификат пользователя?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Надежность аутентификации по сертификату в httpd"  +/
Сообщение от вотак on 28-Окт-16, 08:25 
это прописано в переменных среды процесса соединения, имея соответствующие права их можно изменить
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Надежность аутентификации по сертификату в httpd"  +/
Сообщение от MarvinD (ok) on 28-Окт-16, 11:05 
Имеется ввиду доверие к процессу веб-сервера?

Т.е. если считать, что серверу, получившему клиентский сертификат, мы доверяем, то на основании переменной $_SERVER['SSL_CLIENT_I_DN_Email'] можно давать браузеру-клиенту доступ к данным аккаунта (уникальность SSL_CLIENT_I_DN_Email в сертификате, конечно же, должна быть)?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Надежность аутентификации по сертификату в httpd"  +/
Сообщение от ПавелС email(ok) on 28-Окт-16, 13:36 
> Имеется ввиду доверие к процессу веб-сервера?
> Т.е. если считать, что серверу, получившему клиентский сертификат, мы доверяем, то на
> основании переменной $_SERVER['SSL_CLIENT_I_DN_Email'] можно давать браузеру-клиенту
> доступ к данным аккаунта (уникальность SSL_CLIENT_I_DN_Email в сертификате, конечно же,
> должна быть)?

Можно. А как по другому бы работало. Все auth* включая kerberos собственно усанавливают $REMOTE_USER  - это тоже только переменная окружения.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Надежность аутентификации по сертификату в httpd"  +/
Сообщение от MarvinD (ok) on 28-Окт-16, 14:08 
> Можно. А как по другому бы работало.

Логично. Спасибо!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру