Здравствуйте, Anton. >> Всё просто. Суёшь в авторизационную куку логин пользователя и хэш. >> А на стороне сервера считаешь хэш от логина, пароля, подсети и salt >> и смотришь, равен ли он тому, что пришёл в куках.
> Я не специалист по криптографии, но насколько понимаю просто хэша тут > недостаточно, нужен HMAC. > В инете на эту тему за 5 минут нашел только такую статью: > http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/ > Но встречал и более наглядные объяснения, почему нельзя в куке для > авторизации хранить просто хэш и нужен именно HMAC. Огромное спасибо. Я тоже не специалист в криптоанализе и не знал про такие атаки на хэши. И один раз нас так ломали, а я всё думал, как хацкеры SHA256 ломают так быстро. Буквально минуты проходили... Удалось их победить только применив редко используемую хэш-функцию. Но похоже это спасает только от глупых хацкеров, ломающих готовой утилитой и не понимающих её работы. -- С уважением, Михаил mailto:postmas...@softsearch.ru _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
