Re: Авторизация

Mon Jan 20 20:54:47 UTC 2014

On 21.01.2014 00:40, Михаил Монашёв wrote:
> Всё  просто.  Суёшь в авторизационную куку логин пользователя и хэш. А
> на  стороне  сервера  считаешь хэш от логина, пароля, подсети и salt и
> смотришь,  равен  ли он тому, что пришёл в куках.

Я не специалист по криптографии, но насколько понимаю просто хэша тут 
недостаточно, нужен HMAC.
В инете на эту тему за 5 минут нашел только такую статью:
http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/

Но встречал и более наглядные объяснения, почему нельзя в куке для 
авторизации хранить просто хэш и нужен именно HMAC.