- •Министерство образования Российской федерации
- •2.2. Выполнение аутентификации пользователей средствами управления сеансом в рнр
- •2.2.2.Регистрация переменных сеанса
- •2.2.3.Использование переменных сеанса
- •2.2.4.Отмена регистрации переменных и завершение сеанса
- •3.Порядок выполнения работы
- •4.Содержание отчета
Министерство образования Российской федерации
Уфимский Государственный Авиационный Технический Университет
Методическое указание к выполнению лабораторной работы по дисцеплине «Защита Информации»
на тему:
«»
УГАТУ - 2003
Лабораторная работа № 2
Аутентификация пользователей Web-систем
средствами технологии РНР
1.Цель работы: изучение принципов аутентификации пользователей в Web-системах на примере РНР-сеансов.
2.ОСНОВНЫЕ Теоретические сведения
2.1. Принципы аутентификации
Аутентификация — это попытка доказать, что кто-то на самом деле является тем, за кого себя выдает. Аутентификация обычно используется для разрешения или запрещения доступа к определенной информации. Существует множество методов обеспечения аутентификации, но, как и в случае с общей защитой, чем больше метод защищен, тем сложнее его использовать.
Методы аутентификации включают пароли, цифровые подписи, биометрические показатели, такие как отпечатки пальцев, а также методы с использованием специального оборудования, например, интеллектуальные карточки (смарт-карты). В Web повсеместно используются только два метода — пароли и цифровые сертификаты.
Пароли легко реализовать, просто использовать, и они не требуют наличия специального оборудования. Пароли обеспечивают некоторый уровень аутентификации, но не подходят в качестве единственного метода аутентификации для систем с сильной системой защиты.
Концепция паролей достаточно простая. Ваш пароль знают только вы и система. Если посетитель утверждает, что он — это вы и знает ваш пароль, то система верит, что посетитель — это вы. До тех пор пока никто не знает пароль, система остается защищенной. Сами по себе пароли обладают некоторыми потенциальными недостатками и не могут использоваться для надежной аутентификации.
Пароли могут перехватываться электронным путем. Используя программы перехвата клавиатурного ввода на терминалах или анализаторы сетевых протоколов (sniffers), взломщики могут перехватывать интересные пары имя пользователя-пароль. Шифрование сетевого потока данных позволяет снизить риск перехвата паролей.
Механизмы аутентификации встроены в наиболее популярные Web-браузеры и серверы. Аутентификация пользователей - это достаточно распространенная задача и существуют возможности аутентификации, встро-, енные в HTTP-протокол (Hypertext Transfer Protocol - протокол передачи гипертекстов). Сценарии и Web-серверы могут запрашивать аутентификацию у Web-браузера. После этого Web-браузер должен вывести на экран диалоговое окно или что-то подобное и запросить у пользователя необходимую информацию. Хотя Web-сервер запрашивает новые детали аутентификации в каждом запросе пользователя, Web-браузеру нет необходимости запрашивать эту информацию для каждой страницы. В общем случае браузер хранит детали аутентификации, пока открыто окно браузера, и автоматически отправляет их без вмешательства со стороны пользователя.
Описанная возможность HTTP-протокола называется базовой аутентификацией. Базовую аутентификацию можно включить средствами Web-сервера.