<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=KOI8-R" http-equiv="Content-Type">
</head>
<body text="#000000" bgcolor="#ffffff">
06.08.2010 18:09, Ivan Surzhenko пишет:
<blockquote
 cite="mid:AANLkTimatKGcOwZP1-ruwSO11XT3-=4jvb5jNer6+Z=o@mail.gmail.com"
 type="cite">
  <pre wrap="">6 августа 2010 г. 16:43 пользователь Sergey Poulikov
<a class="moz-txt-link-rfc2396E" href="mailto:scriptuoz@gmail.com">&lt;scriptuoz@gmail.com&gt;</a> написал:
  </pre>
  <blockquote type="cite">
    <pre wrap="">злоумышленник не будет перехватывать и отправлять все это дело в ручную.
с клиента посылается уже сфоримрованный хеш с примесью salt и если
перехватить этот уже сформированный хеш, и отправить серверу то получим
пользовательскую сессию, вся эта операция может осуществляться программно и
занимать доли секунды.
    </pre>
  </blockquote>
  <pre wrap="">Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на
18 (резьба метрическая), так как пользователь уже отправлял запрос
авторизации в рамках данной сессии с данной солью. И вообще такую
ситуацию надо как-то отлавливать и анально наказывать подсовывающего
хеши.

  </pre>
</blockquote>
ненадежно, запросы могут придти почти одновременно, а если лочить
обработку то это совсем будет узким горлышком в плане
производительности.<br>
А вот наказывать надо всех злоумышленников да только не всегда это
возможно.<br>
<blockquote
 cite="mid:AANLkTimatKGcOwZP1-ruwSO11XT3-=4jvb5jNer6+Z=o@mail.gmail.com"
 type="cite">
  <pre wrap=""></pre>
  <blockquote type="cite">
    <pre wrap="">salt не защищает от перехвата данных, для безопасного обмена данными надо
использовать https он именно для этого и создан.
    </pre>
  </blockquote>
  <pre wrap="">Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш
сервер в состоянии выдержать прирост нагрузки из-за постоянного
шифрования/дешифрования (кстати, насколько велик этот прирост?), то да
- проще гонять по https.

  </pre>
</blockquote>
Мы защищаем доступ. Пароль не нужен если можно получить сессию не зная
пароля. Если есть возможность перехватить данные во время авторизации,
то есть возможность получить доступ.<br>
Шифровать все данные и уж тем более постоянно не обязательно.<br>
<br>
<div class="moz-signature">-- <br>
<em>Regards,<br>
Sergey Poulikov</em></div>
</body>
</html>