Аутентификация в Web

Посмотрите внимательней: хеш пароля не нужен. Нужен хеш от нонса и пароля, а его без пароля не узнать.
(Но это так, справедливости ради. Идея страдает примерно так же, как и DIGEST, плюс ещё недостатки, упоминаемые самим автором).

Аутентификация в Web

Ну, а чем поможет просмотр алгоритма? Все алгоритмы и так известны.

Аутентификация в Web

Если я правильно понял, то тут предлагается передавать hash(nonce:pass) вместо пароля. Вариация на тему DIGEST, но там чуть иначе.
Мне только не понятно, предполагается ли хранить пароль в базе в открытую?

Наглый шантаж: «ваш сайт и информация вашего сайта подверглась взлому групой хакеров»

Выслать скрипт, снабдив полезной начинкой :)

Наглый шантаж: «ваш сайт и информация вашего сайта подверглась взлому групой хакеров»

Например, у вас SQL injection в форуме, так что всякое может быть.

Взломали… что делать дальше???

Спасибо нужно говорить, если тебе о них сообщили.

Безопасность в PHP (Обработка даных полученных от пользователей)

Для базового набора я бы добавил про Session Fixation и CSRF.

API ВКонтакте

Скажите, кто во флеше понимает, что помешает выдрать из чужого swf-а api_secret?

CSRF на vkontakte.ru

Это детали реализации, которые мы наверняка не знаем. Можно с той же степенью уверенности сказать, что пароль у них проверяется каждый раз, поэтому-де аутентификация происходит с каждым запросом.

С точки зрения user experience (что собственно и подразумевалось) аутентифицируемся ровно один раз, потом работают персистент-куки.

CSRF на vkontakte.ru

Если есть куки, это и называется "авторизован" (точнее говоря, аутентифицирован).

CSRF на vkontakte.ru

Каким образом произойдёт авторизация?

CSRF на vkontakte.ru

Я считаю, что CSRF - это баг безопасности, и его надо закрывать известными способами: токены, рефереры, капчи.

CSRF на vkontakte.ru

Угу, а грипп не болезнь, потому что многие подвержены.