Re[2]: Авторизация

[Михаил Монашёв]

Здравствуйте, Anton.

>> Всё  просто. Суёшь в авторизационную куку логин пользователя и хэш.
>> А на стороне сервера считаешь хэш от логина, пароля, подсети и salt
>> и смотришь, равен ли он тому, что пришёл в куках.

> Я не специалист по криптографии, но насколько понимаю просто хэша тут
> недостаточно, нужен HMAC.
> В инете на эту тему за 5 минут нашел только такую статью:
> http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/

> Но встречал и более наглядные объяснения, почему нельзя в куке для 
> авторизации хранить просто хэш и нужен именно HMAC.

Огромное  спасибо.  Я тоже не специалист в криптоанализе и не знал про
такие  атаки  на  хэши.  И один раз нас так ломали, а я всё думал, как
хацкеры  SHA256  ломают  так  быстро.  Буквально  минуты  проходили...
Удалось их победить только применив редко используемую хэш-функцию. Но
похоже  это  спасает  только  от  глупых  хацкеров,  ломающих  готовой
утилитой и не понимающих её работы.

-- 
С уважением,
 Михаил                          mailto:postmaster at softsearch.ru