06.08.2010 17:28, Ivan Surzhenko пишет: > 6 августа 2010 г. 15:52 пользователь maxyer <max...@mail.ru> написал: > >> 06.08.2010 19:07, Ivan Surzhenko пишет: >> >>> В данном случае можно получать от сервера "соль" и считать >>> md5(соль+md5(пароль)) >>> >> Сорри, что-то я не понял ;( >> Что за соль такая ? >> > Избыточная информация, которая не дает расшифровать/подобрать значение > (даже подбором по хеш-таблицам). > > >> И где "считать md5(соль+md5(пароль))" ? >> На стороне клиента ? >> > На клиенте вы имеете пароль. > 1. Получаете с сервера соль. > 2. Шифруете пароль по md5. > 3. Добавляете к хешу соль. > 4. От того, что получили на этапе №3 берете еще раз md5 > 5. Отправляете результат пункта №5 на сервер. > > На сервере у вас в базе хранится хеш от пароля. > 1. Вы берете соль (ту, что отправляли клиенту) и прибавляете ее к > значению из базы данных. > 2. берете от всего этого добра md5. > 3. Результат пункта 2 сравниваете с тем, что пришло с клиента > > Фишка в том, что переданный с клиента на сервер хеш ничего не дает > злоумышленнику :) > Он не сможет войти с тем же хешом, если для каждой сессии (или просто > часто) создается новая соль :) > > злоумышленник не будет перехватывать и отправлять все это дело в ручную. с клиента посылается уже сфоримрованный хеш с примесью salt и если перехватить этот уже сформированный хеш, и отправить серверу то получим пользовательскую сессию, вся эта операция может осуществляться программно и занимать доли секунды. salt не защищает от перехвата данных, для безопасного обмена данными надо использовать https он именно для этого и создан.
-- /Regards, Sergey Poulikov/
-- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
