Вот какой у меня еще вопрос созрел...
В примере авторизации с использованием блофиш-шифрования (ссл я обязательно реализую, но позже - договорюсь с начальством по поводу покупки...кстати он покупается единоразово? или есть абонентская плата?)
http://habrahabr[dot]ru/sandbox/20718/
используется в качестве хеш пароля мд5...И в базе хранится мд5...простой мд5 от пароля...Меня это, мягко говоря, не очень радует.
Если я хочу применить crypt() (по поводу password_hash() - жду ответа хостера по обновлению пхп) с блоуфиш-алгоритмом хеширования, получается, мне необходимо иметь библиотеку javascrypt, которая реализует метод, аналогичный функции crypt() php?...
Ведь если в бд у меня будет храниться crypt($pass, $salt), то на javascript в качестве закрытого ключа нужно именно это значение. Тут я вижу 2 способа - отправить запрос на получение хеша, что не есть безопасно (в плане перехвата), либо генерация такого хеша на клиенте. Я правильно рассуждаю? Но такой библиотеки на яваскрипте я нигде не вижу. В связи с этим у меня закралось подозрение, что что-то я делаю не так... ?? ...
P.S. Все. Спасибо. Нашел. Не буду заморачиваться шифрованием, как описано в данной статье. Буду просто отсылать хеш (блоуфиш хеширование с солью $2a$11...). Отправлять на сервер логин и этот хеш. А там сравнивать.
P.P.S. Наткнулся на проблему - блоуфиш-хеш, сделанная с помощью crypt() в php 5.2 отличается от сделанной в пхп 5.3 (Отредактировано автором: 10 Июня, 2014 - 08:55:25)
|