Войти
Регистрация
Публикации
Не указал
Добрый день!
давно размышляю на эту тему. решил задать вопрос.
порядка 90 процентов всевозможных веб-ресурсов гоняют пароль от клиента к серверу в ЧИСТОМ виде.
Почему?
ведь есть варианты:
1. SSL. Некоторые ресурсы, например gmail, "мудрят" используя SSL защиту скрипта аутентификации. Но не у всех есть возможность содержать свой сервер и сертификат. Соответственно не все могут себе позволить SSL.
2. Криптография.
подробно:
- на сервере хранятся хеши паролей.
- при аутентификации для пользователя генерируется "соль"(случайная последовательность), она кладется в базу, браузеру передается "соль" и идентификатор "соли".
- браузер делает следующее: хеш( хеш(пароля) + "соль") и передает на сервер идентификатор "соли", имя пользователя и полученный "суперхеш".
- сервер проверяет все по такой же схеме.
Ни разу такого не встречал... почему? кто сможет объяснить?
PS. сначала казалось, что все упирается в сложность реализации хеширования на javascript. Но готовых примеров - хватает.
PPS. возникает мысль о пользователях с выключенным javascript. Но таких ОЧЕНЬ мало. В конце концов для них можно и в чистом виде передать.
жду мнений.
