Как известно в протоколе HTTP есть Digest authentication. Один мой знакомый утверждает будто бы она вообще какая секурная по сравнению с обычной аутентификацией, которая производится посредством HTML формы. Я конечно понимаю, что проснифиф второй вариант можно пару логин пароль словить, но это достатчно редакая ситуация, а чаще можно будет словить SID и его прописать себе (ну и остальные параметры если SID к чему еще привязывается) и получить нужную сессию, но так и в первом случае можно проснифить трафик и поймать заголовок Authorization и скопировать его себе и получить эту же сессию.
Вариант с тем что бы на каждый запрос менять nonce мне кажеться достаточно утопичным (ну и харнить его и использованные больше не использовать).
Я чего-то не понимаю в digest authentication.
З.Ы. Я в курсе что SSL спасёт от всего :).
Вариант с тем что бы на каждый запрос менять nonce мне кажеться достаточно утопичным (ну и харнить его и использованные больше не использовать).
Я чего-то не понимаю в digest authentication.
З.Ы. Я в курсе что SSL спасёт от всего :).
