Пишем страничку авторизации для пентагона? :)
В Птн, 06/08/2010 в 17:09 +0300, Ivan Surzhenko пишет: > 6 августа 2010 г. 16:43 пользователь Sergey Poulikov > <[email protected]> написал: > > злоумышленник не будет перехватывать и отправлять все это дело в ручную. > > с клиента посылается уже сфоримрованный хеш с примесью salt и если > > перехватить этот уже сформированный хеш, и отправить серверу то получим > > пользовательскую сессию, вся эта операция может осуществляться программно и > > занимать доли секунды. > Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на > 18 (резьба метрическая), так как пользователь уже отправлял запрос > авторизации в рамках данной сессии с данной солью. И вообще такую > ситуацию надо как-то отлавливать и анально наказывать подсовывающего > хеши. > > > salt не защищает от перехвата данных, для безопасного обмена данными надо > > использовать https он именно для этого и создан. > Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш > сервер в состоянии выдержать прирост нагрузки из-за постоянного > шифрования/дешифрования (кстати, насколько велик этот прирост?), то да > - проще гонять по https. > > -- > -------------------------------- > With best regards, > Ivan Surzhenko -- ubuntu-ru mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
