Пишем страничку авторизации для пентагона? :)
В Птн, 06/08/2010 в 17:09 +0300, Ivan Surzhenko пишет: > 6 августа 2010 г. 16:43 пользователь Sergey Poulikov > <script...@gmail.com> написал: > > злоумышленник не будет перехватывать и отправлять все это дело в ручную. > > с клиента посылается уже сфоримрованный хеш с примесью salt и если > > перехватить этот уже сформированный хеш, и отправить серверу то получим > > пользовательскую сессию, вся эта операция может осуществляться программно и > > занимать доли секунды. > Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на > 18 (резьба метрическая), так как пользователь уже отправлял запрос > авторизации в рамках данной сессии с данной солью. И вообще такую > ситуацию надо как-то отлавливать и анально наказывать подсовывающего > хеши. > > > salt не защищает от перехвата данных, для безопасного обмена данными надо > > использовать https он именно для этого и создан. > Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш > сервер в состоянии выдержать прирост нагрузки из-за постоянного > шифрования/дешифрования (кстати, насколько велик этот прирост?), то да > - проще гонять по https. > > -- > -------------------------------- > With best regards, > Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru