1) Ну да, логично. Я дурак. Можно передавать.
2) Нет, не в обратимом. Мы шифруем не пароль, а хэш. Он не обратим по определению. Но да - предвычесленные таблицы сделают нам больно - согласен.
На дерибасовскую же мы не выходим. Тут вы ошиблись - мы же не передаем хэш!
FanatPHP: Нет. Не нужно. Потому, что если передавать соль, то она лишается смысла для использования. Весь смак соли в том, что она хранится на сервере и не доступна. От использования соли нужно будет отказаться. Это не так страшно как принято думать, тем более что существуют альтернативные методы.
Как мы обычно храним пароль? hash(pass+sold)
А что нам мешает вместо этого хранить его так: encrypt(hash(pass),sold), где encrypt функция симметричного шифрования использующая в качестве ключа sold.
Можно даже круче: encrypt(hash(pass)+rand(),sold)
Надеюсь понятно.
> если мы авторизуемся по хэшу, то этот хэш превращается в пароль
Ну да. Но его тоже можно не хранить в открытом виде. Но вы правы - перехват этого хэша для злоумышленника имеет ту же ценность что и перехват пароля, поскольку ему пофиг что он перехватил - главное, что это достаточно передать на сервере и быть авторизованным.
FanatPHP: да и хрен бы с ним.
Сам вопрос при этом вполне решаем. Кстати "сервак со своей стороны так же солит пароль" можно легко заменить на "сервак со своей стороны так же солит хэш" и, вуаля, у нас снова карета. Правда все равно не едит, но это другая история.
В любом случае защищенную передачу организовать возможно и это никак не мешает хранению хэша.
Я смотрю у вас широта мышления превосходит все мыслимые масштабы...
При чем тут вообще хэширование на сервере, если речь идет о безопасной передачи пароля до него?
Почему реализация асимметрично шифрованного канала на уровне ajax не может обеспечить ту же надежность передачи данных как и SSL?
Короче не нужно считать на лишнее ходы если не знаешь какое направление "вперед".
XenK: ну это же вы пришли рассказать мне что для этого обработчику важно знать с какой формы поступает запрос и вот зачем-то просите меня рассказать как это должно работать...
Странный подход.
Обработчик должен получить ID лота и величину ставки и плевать из какой формы это произойдет.
XenK: Я прекрасно знаю что я написал.
Вы ляпнули слово "аукцион" так как будто это что-то объясняет. Возможно в ваших краях полно телепатов которые по этому слову должны догадаться, что у вас за задача такая что MVC пора сдавать в утиль, но рядом со мной ни одного телепата нет (((
Эргил Осин: ну на серверах мне обычно хватает пакетов из оффреп.
Хотя вот недавно на одном шареде поставил tcl тупым копированием бинарника с домашней системы... Ничо - полет нормальный.
