История изменений
Исправление special-k, (текущая версия) :
О, я придумал. Ты отправляешь на страницу соль, юзер вводит логин, пароль, и с помощью какой-нибудь хитрой хэш функции получает некий ключ (все на клиенте) - это будет его идентификатор сессии. Ты можешь время от времени отправлять соль заново (хоть каждый запрос), тогда похищенная злоумышленником сессия будет быстро устаревать (или вообще никогда не будет актуальной).
Минус - на сервере должны лежать незахешированные пароли, или соль пароля тоже надо будет передать (а то ты не сможешь аналогичный ключ у себя получить).
Исправление special-k, :
О, я придумал. Ты отправляешь на страницу соль, юзер вводит логин, пароль, и с помощью какой-нибудь хитрой хэш функции получает некий ключ (все на клиенте) - это будет его идентификатор сессии. Ты можешь время от времени отправлять соль заново (хоть каждый запрос), тогда похищенная злоумышленником сессия будет быстро устаревать (или вообще никогда не будет актуальной). Минус - на сервере должны лежать незахешированные пароли, или соль пароля тоже надо будет передать (а то ты не сможешь аналогичный ключ у себя получить).
Исправление special-k, :
О, я придумал. Ты отправляешь на страницу соль, юзер вводит логин, пароль, и с помощью какой-нибудь хитрой хэш функции получает некий ключ (все на клиенте) - это будет его идентификатор сессии. Ты можешь время от времени отправлять соль заново (хоть каждый запрос), тогда похищенная злоумышленником сессия будет быстро устаревать (или вообще никогда не будет актуальной).
Исходная версия special-k, :
О, я придумал. Ты отправляешь на страницу соль, юзер вводит логин, пароль, и с помощью какой-нибудь хитрой хэш функции получает некий ключ - это будет его идентификатор сессии. Ты можешь время от времени отправлять соль заново (хоть каждый запрос), тогда похищенная злоумышленником сессия будет быстро устаревать (или вообще никогда не будет актуальной).