История изменений
Исправление aureliano15, (текущая версия) :
Вот сейчас написал и подумал, а от чего, собственно, он дополнительно защищает? От передачи пароля открытым текстом уже предохраняет ssl. А при утечке базы паролей, всё так же перебором по словарю слабый пароль может быть взломан, после чего взломщик, воспользовавшись этим же алгоритмом, спокойно войдёт на сервер под чужим именем. Так что нет, мы были не правы. Можно сравнивать надёжность srp с ssl (я не исключаю, что в чём-то он может его превосходить, хотя отсутствие сертификации — явно слабое место), но принципиально по сравнению с существующими схемами использование этого алгоритма ничего не даёт.
P. S. Разве что защитит от взломщика, который может прикинуться настоящим сервером, чтобы выудить пароль, а вместо него получит ненужный хэш.
Исходная версия aureliano15, :
Вот сейчас написал и подумал, а от чего, собственно, он дополнительно защищает? От передачи пароля открытым текстом уже предохраняет ssl. А при утечке базы паролей, всё так же перебором по словарю слабый пароль может быть взломан, после чего взломщик, воспользовавшись этим же алгоритмом, спокойно войдёт на сервер под чужим именем. Так что нет, мы были не правы. Можно сравнивать надёжность srp с ssl (я не исключаю, что в чём-то он может его превосходить, хотя отсутствие сертификации — явно слабое место), но принципиально по сравнению с существующими схемами использование этого алгоритма ничего не даёт.