Re: безопасная передача пароля из формы
Hello avm7work,
Monday, December 22, 2008, 4:48:28 PM, you wrote:
amr> Доброе время .. !
amr> Есть база данных на php стороннего автора. При аутентификации пароль
amr> пересылается в открытом виде, все это крутится в локальной сети, т.е.
amr> пароль можно подсмотреть.
amr> Работа через ssl сильно грузит сервер.
amr> Есть ли возможность сделать так, чтобы только страница аутентификации
amr> вызывалась по ssl, остальные по обычному http?
Правильно мыслите. Можно :)
Как правило скрипт аутентификации ставит куку. Её можно потом
использовать и при обычном http. Только её тоже могут подслушать,
причём это проще, т.к. пароль проходит 1 раз, а кука с каждым
запросом. Так что придётся озаботится дополнительными проверками...
amr> Или чтобы пароль передавался в неузнаваемом виде (пусть и в не стойком к
amr> расшифровке, лишь бы не прямым текстом?
Тоже можно. У меня даже есть такой скрипт, рассчитанный на
несколько учёток (10...20). Могу продать :)
amr> Сервер в итоге должен иметь нормальный пароль, т.к. потом проводит
amr> проверку на imap сервере.
А вот это совсем неправильно! Так не стоит делать, так как:
1. Появляется 2 разных места, где можно слушать пароль. И 2 разных
скрипта, которые можно ломать :)
2. При взломе ломается и Ваша система, и imap сервер.
В результате, "дырявость" всей системы повышается на порядок.
