Можно ли сделать для пущей надежности, чтобы pass уже на сервер
отправлялся не в открытом виде, а в зашифрованном ?
Чтобы по пути не перехватил кто-нибудь ;)
Т.е. шифровать, соединение или пароль? Если пароль, яваскриптом что ли? )
--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
Ломанул я вашу базу, знаю ваш хеш. Мне достаточно будет его в таком случае
просто передать authorize.php.
Не секьюрно оно как-то.
06.08.2010, 14:58, maxyer max...@mail.ru:
В продолжение начатой темы ;)
Ну допустим написал я нечто подобное
form method=post action=authorize.php
input
В данном случае можно получать от сервера соль и считать md5(соль+md5(пароль))
потом в скрипте авторизации берем сохраненную в базе md5(пароль),
добавляем к ней нашу соль и считаем md5 от полученного. Результат
сравниваем с тем, что пришло от клиента. Соль желательно периодически
менять...
6 августа 2010 г. 15:52 пользователь maxyer max...@mail.ru написал:
06.08.2010 19:07, Ivan Surzhenko пишет:
В данном случае можно получать от сервера соль и считать
md5(соль+md5(пароль))
Сорри, что-то я не понял ;(
Что за соль такая ?
Избыточная информация, которая не дает
6 августа 2010 г. 16:43 пользователь Sergey Poulikov
script...@gmail.com написал:
злоумышленник не будет перехватывать и отправлять все это дело в ручную.
с клиента посылается уже сфоримрованный хеш с примесью salt и если
перехватить этот уже сформированный хеш, и отправить серверу то получим
Пишем страничку авторизации для пентагона? :)
В Птн, 06/08/2010 в 17:09 +0300, Ivan Surzhenko пишет:
6 августа 2010 г. 16:43 пользователь Sergey Poulikov
script...@gmail.com написал:
злоумышленник не будет перехватывать и отправлять все это дело в ручную.
с клиента посылается уже
6 августа 2010 г. 17:23 пользователь Владимир Бажанов
a...@ukrpost.net написал:
Пишем страничку авторизации для пентагона? :)
А у них уже есть http://pentagon.in.ua/index.php?do=login
--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
2010/8/6 Sergey Poulikov script...@gmail.com:
Шифровать все данные и уж тем более постоянно не обязательно.
Да, именно так и делают все нормальные сервисы - показывают форму
авторизации и принимают данные формы авторизации по https, после чего
честно продолжают работать по http без всякого