waszkiewiczесли сниферить канал (не HTTPS) - тоже ведь можно выловить?Технически - вполне можно.

waszkiewiczФормировать хэш при помощи javascript прямо на клиенте? Как потом это дело на сервере проверять?Да простая проверка на равенство. В таблице авторизации пользователей хранить хеш пароля, естественно. В принципе, оно не сильно секурнее, чем передавать в открытом виде.

В каком-то движке попадалось обратимое шифрование передаваемых логина/пароля сессионным ключиком. Уже интереснее, но код яваскрипта (который шифрует) и ключ (точнее, заготовка, из которой он потом собирался) присылаются тем же открытым каналом, потому кардинального прорыва и тут не оказалось.

Hettvkle,

генерируется на сервере пара ключей, открытый отдается клиенту. Клиент им шифрует данные и отдаёт серверу, который их расшифровывает приватным ключём (который есть только у него)Если только ключи как-то жестко привязать к клиенту или, проще, сделать одноразовыми. Может быть...

Да, ещё ж и куки есть, тоже легко читаются.

ПМСМ вряд ли возможно на открытом канале сделать так, чтобы решение и простое и надежное получилось.

Hettоткрытый можно хоть в паблик выложить, это не секретная информация.Разумеется. Тем более, что сам по себе ключ не требуется вовсе. Пароль в чистом виде - тоже не нужен. Достаточно перехватить результат шифрования - запрос от клиента к серверу, где уже есть необходимая для авторизации информация.


Hettберем протокол https и ничего городить не нужно :)Да, разумеется, этого я нигде и не отрицал :)