Исправление swwwfactory, (текущая версия) :
основная идея такая (это относится к любой подобной системе/БД) - сервер не хранит пароль клиента в явном виде и не должен знать о нем физически. Это идеал системы.
Пароль знает и задает только пользователь на свое стороне (клиентской части) т.е. например в браузере. По сети передается периодически подсаливаемый предварительно (каждые 5-10 сек) хэш. Смотри hmac sha512 или больше для надежности. Например. Не соленые хеши по md5 и соленые статически - совершеннейшая ерунда, а так-же хеши слабее sha256 (по хорошему надо иметь несколько вариантов хэшей)
Можно предусмотреть и другие схемы, но главная идея д.б. понятна.
Смысл в том, чтобы к админу хоста/сайта не было претензий и он был бесполезен и вне подозрения, да и ему будет спокойнее. Это значительно исключает утечку информации и не делегирует хранение закрытой персональной информации никому.
Исходная версия swwwfactory, :
основная идея такая (это относится к любой подобной системе/БД) - сервер не хранит пароль клиента в явном виде и не должен знать о нем физически. Это идеал системы.
Пароль знает и задает только пользователь на свое стороне (клиентской части) т.е. например в браузере. По сети передается периодически подсаливаемый предварительно (каждые 5-10 сек) хэш. Смотри hmac sha512 или больше для надежности. Например. Не соленые хеши и соленые статически - совершеннейшая ерунда, а так-же хеши слабее sha256 (по хорошему надо иметь несколько вариантов хэшей)
Можно предусмотреть и другие схемы, но главная идея д.б. понятна.
Смысл в том, чтобы к админу хоста/сайта не было претензий и он был бесполезен и вне подозрения, да и ему будет спокойнее. Это значительно исключает утечку информации и не делегирует хранение закрытой персональной информации никому.