Здравствуйте!.
> On 21.01.2014 00:40, Михаил Монашёв wrote: >> Всё просто. Суёшь в авторизационную куку логин пользователя и хэш. А >> на стороне сервера считаешь хэш от логина, пароля, подсети и salt и >> смотришь, равен ли он тому, что пришёл в куках. > Я не специалист по криптографии, но насколько понимаю просто хэша тут > недостаточно, нужен HMAC. > В инете на эту тему за 5 минут нашел только такую статью: > http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/ > Но встречал и более наглядные объяснения, почему нельзя в куке для > авторизации хранить просто хэш и нужен именно HMAC. Кто-нибудь может кинуть ссылку на более наглядные объяснения с более человекопонятной схемой, как это ломается? Либо может быть кто-то разъяснит "на пальцах", как злоумышленник, имея одну или несколько пар "userId + keyedhash" сможет сгенерировать пару "admin_userId + valid_keyedhash"? Спасибо. -- С уважением, Pavel mailto:pavel2...@ngs.ru _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru