Re: Авторизация

[Pavel V.]

Здравствуйте!.


> On 21.01.2014 00:40, Михаил Монашёв wrote:
>> Всё  просто.  Суёшь в авторизационную куку логин пользователя и хэш. А
>> на  стороне  сервера  считаешь хэш от логина, пароля, подсети и salt и
>> смотришь,  равен  ли он тому, что пришёл в куках.

> Я не специалист по криптографии, но насколько понимаю просто хэша тут 
> недостаточно, нужен HMAC.
> В инете на эту тему за 5 минут нашел только такую статью:
> http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/

> Но встречал и более наглядные объяснения, почему нельзя в куке для 
> авторизации хранить просто хэш и нужен именно HMAC.

Кто-нибудь может кинуть ссылку на более наглядные объяснения с более человекопонятной схемой,
как это ломается? Либо может быть кто-то разъяснит "на пальцах", как злоумышленник, имея одну или
несколько пар "userId + keyedhash" сможет сгенерировать пару "admin_userId + valid_keyedhash"?

Спасибо.


-- 
С уважением,
 Pavel                          mailto:pavel2000 at ngs.ru