ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: Авторизация


  • To: Anton Yuzhaninov <nginx-ru@xxxxxxxxx>
  • Subject: Re[2]: Авторизация
  • From: Михаил Монашёв <postmaster@xxxxxxxxxxxxx>
  • Date: Wed, 22 Jan 2014 12:40:41 +0400
  • Dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=softsearch.ru; h=date:from :reply-to:message-id:to:subject:in-reply-to:references :mime-version:content-type:content-transfer-encoding; s=main; i= postmaster@xxxxxxxxxxxxx; bh=1yJkuIVgrDf0T+K3CoDlKZ0TfnI=; b=e1Y 20FXzvwoVowexpznD2qDwxkW/ZrxiVXOo3HZ3KN5kKdoDQIKd8EZbcMBF8pQfPsx JY4hWd6s3K4Sm8odbi7zyRHR3JOP9q6Pc1r/sYYrhRrBmFVgk06+j1PfoFmi0bs/ sFwnCq6Li7qzsg7patiIzrAx6AlfP5s74PEpySaY=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=softsearch.ru; h=date:from :reply-to:message-id:to:subject:in-reply-to:references :mime-version:content-type:content-transfer-encoding; q=dns; s= main; b=YcIfz8qIFLW4Yn28rs7Hp2gyd8plCzUY3HX4DSV68C8JA4KvvBSFDeuh eYx67J2xSGXeh34keFD1L09Fep/puQNJB92q1DZyrDq8A4vPGvdnlkM5wcwnaKyT hAt5YjT38UWrwSwt3FqCBIU8GpwmkduJzAF8+p3NMReGrK2aMrM=
  • In-reply-to: <52DD8D17.5060706@citrin.ru>
  • References: <88eec546842d3bee9a82e83857dccd78.NginxMailingListRussian@forum.nginx.org> <1149969710.20140121004026@softsearch.ru> <52DD8D17.5060706@citrin.ru>

Здравствуйте, Anton.

>> Всё  просто.  Суёшь в авторизационную куку логин пользователя и хэш. А
>> на  стороне  сервера  считаешь хэш от логина, пароля, подсети и salt и
>> смотришь,  равен  ли он тому, что пришёл в куках.

> Я не специалист по криптографии, но насколько понимаю просто хэша тут
> недостаточно, нужен HMAC.
> В инете на эту тему за 5 минут нашел только такую статью:
> http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/

> Но встречал и более наглядные объяснения, почему нельзя в куке для 
> авторизации хранить просто хэш и нужен именно HMAC.

Для HMAC требуется 2 параметра: key и data. В нашем случае авторизации
по куке key - это salt, а data - это сконкатенированные логин, пароль,
подсеть и юзерагент? Или как?


-- 
С уважением,
 Михаил                          mailto:postmaster@xxxxxxxxxxxxx

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.