14.07.2014, 17:52
Tak dodając: pisałem że ataki są mało prawdopodobne, ale to nie znaczy, że są w 100% w sferze fantazji. Mój domowy router, na którym mam wypasione oprogramowanie z firewallem, rejestruje 2-3 próby włamania dziennie (najczęściej z IP chińskich i rosyjskich ). Może się okazać, że jakiemuś hackerowi zechce się powyławiać hasła użytkowników niszowego forum - byłoby to odpowiednio trudniejsze, ale też niewykrywalne od strony serwera, bo cały włam odbywa się gdzieś na serwerze pośredniczącym.
Co do haszowania to jest to niewykonalne, jedyny używalny mechanizm takiej autoryzacji to HTTP Digest który używa starego MD5, przesyłanie tym haseł nie daje żadnego realnego zwiększenia bezpieczeństwa. Też wolałbym jakieś rozwinięcie tego modelu niż skomercjalizowany, scentralizowany SSL/TLS ale póki nie ma alternatyw wydaje mi się, że opcjonalne szyfrowanie własnym certyfikatem to najlepsze wyjście.
Na shouta spróbuję poradzić coś później.
Co do haszowania to jest to niewykonalne, jedyny używalny mechanizm takiej autoryzacji to HTTP Digest który używa starego MD5, przesyłanie tym haseł nie daje żadnego realnego zwiększenia bezpieczeństwa. Też wolałbym jakieś rozwinięcie tego modelu niż skomercjalizowany, scentralizowany SSL/TLS ale póki nie ma alternatyw wydaje mi się, że opcjonalne szyfrowanie własnym certyfikatem to najlepsze wyjście.
Na shouta spróbuję poradzić coś później.