OpenForum RSS: Надежность аутентификации по сертификату в httpd https://opennet.ru/openforum/vsluhforumID10/5392.html Изучаю вопрос замены запроса логин/пароль при авторизации на странице php с логин/пароль на запрос сертификата. Насколько я понимаю, после того, как httpd принял сертификат пользователя, можно в полной мере доверять переменным $_SERVER[SSL_CLIENT_*], полученным от сертификата? Ну там [SSL_CLIENT_S_DN_CN] в качестве username, [SSL_CLIENT_I_DN_Email] в качестве email и прочее (там уж по желанию).<br><br>Ошибиться нельзя, т.к. в данном случае я не просто разрешаю/отклоняю доступ к какой-то директории на сервере, а пускаю пользователя на основании данных от его сертификата к его переписке.<br><br>Я правильно понимаю, что эти переменные ($_SERVER[SSL_CLIENT_*]) подделать нельзя, они устанавливаются только если сервер признал сертификат пользователя?<br> Надежность аутентификации по сертификату в httpd (MarvinD) https://opennet.ru/openforum/vsluhforumID10/5392.html#4 Fri, 28 Oct 2016 11:08:47 GMT &gt; Можно. А как по другому бы работало.<br><br>Логично. Спасибо!<br> Надежность аутентификации по сертификату в httpd (ПавелС) https://opennet.ru/openforum/vsluhforumID10/5392.html#3 Fri, 28 Oct 2016 10:36:48 GMT &gt; Имеется ввиду доверие к процессу веб-сервера?<br>&gt; Т.е. если считать, что серверу, получившему клиентский сертификат, мы доверяем, то на <br>&gt; основании переменной $_SERVER['SSL_CLIENT_I_DN_Email'] можно давать браузеру-клиенту <br>&gt; доступ к данным аккаунта (уникальность SSL_CLIENT_I_DN_Email в сертификате, конечно же, <br>&gt; должна быть)?<br><br>Можно. А как по другому бы работало. Все auth* включая kerberos собственно усанавливают $REMOTE_USER - это тоже только переменная окружения.<br><br> Надежность аутентификации по сертификату в httpd (MarvinD) https://opennet.ru/openforum/vsluhforumID10/5392.html#2 Fri, 28 Oct 2016 08:05:57 GMT Имеется ввиду доверие к процессу веб-сервера?<br><br>Т.е. если считать, что серверу, получившему клиентский сертификат, мы доверяем, то на основании переменной $_SERVER['SSL_CLIENT_I_DN_Email'] можно давать браузеру-клиенту доступ к данным аккаунта (уникальность SSL_CLIENT_I_DN_Email в сертификате, конечно же, должна быть)?<br> Надежность аутентификации по сертификату в httpd (вотак) https://opennet.ru/openforum/vsluhforumID10/5392.html#1 Fri, 28 Oct 2016 05:25:29 GMT это прописано в переменных среды процесса соединения, имея соответствующие права их можно изменить<br>