w0den, обычный reverse proxy, но его тоже нужно умудриться словить, либо словить паразита на своей системе, чтобы совсем все было прикрыто. Еще один случай это магия в адресной строке браузера. Но, опять же, с одноразовым паролем далеко не уедешь и это все та самая же "дурилка" для пользователя.
Ezhyg, вот именно такие мнения мне хотелось бы за свои 20 лет интернета видеть все реже и реже, но система образования не дает мне шанса.
У меня не просто опилки, а опилки программиста, который:
1) знает, что он знает далеко не все, а очень мало;
2) хочет знать больше и не брезгует советами, экспериментами;
3) понимает механизмы и принципы работы аутентификации;
4) не параноит по любому поводу и без.
Всего этого вполне достаточно, чтобы понимать, что:
1) плохого кода не существует (no pun intended);
2) нет никакого смысла подменять код/пароль, который можно просто использовать.
Была вероятность, что код окажется левым, но увы это был именно мой код и смс-ка предназначалась мне.