6 августа 2010 г. 16:43 пользователь Sergey Poulikov <script...@gmail.com> написал: > злоумышленник не будет перехватывать и отправлять все это дело в ручную. > с клиента посылается уже сфоримрованный хеш с примесью salt и если > перехватить этот уже сформированный хеш, и отправить серверу то получим > пользовательскую сессию, вся эта операция может осуществляться программно и > занимать доли секунды. Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на 18 (резьба метрическая), так как пользователь уже отправлял запрос авторизации в рамках данной сессии с данной солью. И вообще такую ситуацию надо как-то отлавливать и анально наказывать подсовывающего хеши.
> salt не защищает от перехвата данных, для безопасного обмена данными надо > использовать https он именно для этого и создан. Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш сервер в состоянии выдержать прирост нагрузки из-за постоянного шифрования/дешифрования (кстати, насколько велик этот прирост?), то да - проще гонять по https. -- -------------------------------- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
