Jobb biztonság SSL nélkül
Azok számára, akik valami miatt nem engedhetik meg magunknak SSL szerver üzemeltetését, de biztonságos bejelentkezést kívánnak megvalósítani, nem sok lehetőség kínálkozik. A HTTP alapvetően kódolatlanul küldi az információkat, ezért a belépési név / jelszó ellopásának veszélye fennáll titkosítatlan kapcsolat esetén.
Nem teljesen reménytelen azonban a helyzet.
A CHAP login rendszer (melyet készítője szerint a Yahoo is használ nem SSL oldalakon) a jelszón kliens oldali md5 titkosítást alkalmaz, és azt a szerver oldalon egyezteti a felhasználó jelszavának elkódolt változatával.
Ez természetesen még nem lenne elegendő a biztonsághoz, hiszen így az elkódolt jelszó újraküldésével is be lehene később lépni. A rendszer annyival tovább megy, hogy egy munkamenetben tárolt véletlenszerű azonosító meglétét és helyességét is ellenőrzi (a PHP megvalósításban).
Nem érdemes elhinni azonban, hogy ez teljesen biztos védelem, hiszen a szerző is számos fejlesztési lehetőséget vázol. Mindenesetre ez a szabadon olvasható szövegként küldött név-jelszó párnál jobb megoldás lehet.
■ Nem teljesen reménytelen azonban a helyzet.
A CHAP login rendszer (melyet készítője szerint a Yahoo is használ nem SSL oldalakon) a jelszón kliens oldali md5 titkosítást alkalmaz, és azt a szerver oldalon egyezteti a felhasználó jelszavának elkódolt változatával.
Ez természetesen még nem lenne elegendő a biztonsághoz, hiszen így az elkódolt jelszó újraküldésével is be lehene később lépni. A rendszer annyival tovább megy, hogy egy munkamenetben tárolt véletlenszerű azonosító meglétét és helyességét is ellenőrzi (a PHP megvalósításban).
Nem érdemes elhinni azonban, hogy ez teljesen biztos védelem, hiszen a szerző is számos fejlesztési lehetőséget vázol. Mindenesetre ez a szabadon olvasható szövegként küldött név-jelszó párnál jobb megoldás lehet.
