Привет. Суть в том что проект без бюджета вообще (я себе и тимлид и дизайнер и программист, а ещё немножко художник :) ) по этому покупать сертефикат ssl не позволяет бюджет) Использую обычный http 1.0.
Отправка пароля проходит так:
Клиентская часть :
Получаем пароль из инпута потом сразу создаём хеш sha512
Потом аяксом шлю хеш пароля и логин.
На стороне сервера делаю примерно так
$data->post_gson('data');
$json = $data->result();
$login = $json->login;
$password = $json->pass;
$pass = new pass;
$salt = $pass->salt();
$data = $password.$login.$salt.$password;
$password = $pass->sha512($data);
$password = $pass->gost($password);
$password = $pass->joaat($password);
$password = $pass->ripemd320($password);
$password = $pass->tiger192_4($password);
$password = $pass->whirlpool($password);
$password = $pass->crc32b($password);
Тут собственно я получаю json декодирую его и разбиваю инфу по переменным $login и $password
Потом генерирую соль с 30 символов
Доступные символы
qazxswedcvfrtgbnhyujmkiolp%^*()_+-=/\][{}1234567$890QAZXSWEDCVFRTGBNHYUJMKIOLP
И уже солю хеш и делаю с него хеш другого вида :) (если перехватят хеш пароля все равно не так плохо как открытый пароль, а если сольют базу то будут очень долго мучатся пока с паролями)
Потом при авторизации я думаю делать тройной хеш строки login,id,date_reg,HTTP_USER_AGENT
потом этот хеш заверну в xxtea, а уже то что выйдет закодирую анубисом, обверну в базе64 и запишу куку.
Что в моём решении бред, а что нет?