Здравствуйте, Anton.

>> Всё просто. Суёшь в авторизационную куку логин пользователя и хэш.
>> А на стороне сервера считаешь хэш от логина, пароля, подсети и salt
>> и смотришь, равен ли он тому, что пришёл в куках.

> Я не специалист по криптографии, но насколько понимаю просто хэша тут
> недостаточно, нужен HMAC.
> В инете на эту тему за 5 минут нашел только такую статью:
> http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/

> Но встречал и более наглядные объяснения, почему нельзя в куке для
> авторизации хранить просто хэш и нужен именно HMAC.

Огромное спасибо. Я тоже не специалист в криптоанализе и не знал про
такие атаки на хэши. И один раз нас так ломали, а я всё думал, как
хацкеры SHA256 ломают так быстро. Буквально минуты проходили...
Удалось их победить только применив редко используемую хэш-функцию. Но
похоже это спасает только от глупых хацкеров, ломающих готовой
утилитой и не понимающих её работы.

--
С уважением,
Михаил mailto:postmaster@softsearch.ru

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru