Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: Авторизация

To: Anton Yuzhaninov <nginx-ru@xxxxxxxxx>
Subject: Re[2]: Авторизация
From: Михаил Монашёв <postmaster@xxxxxxxxxxxxx>
Date: Wed, 22 Jan 2014 12:40:41 +0400
Dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=softsearch.ru; h=date:from :reply-to:message-id:to:subject:in-reply-to:references :mime-version:content-type:content-transfer-encoding; s=main; i= postmaster@xxxxxxxxxxxxx; bh=1yJkuIVgrDf0T+K3CoDlKZ0TfnI=; b=e1Y 20FXzvwoVowexpznD2qDwxkW/ZrxiVXOo3HZ3KN5kKdoDQIKd8EZbcMBF8pQfPsx JY4hWd6s3K4Sm8odbi7zyRHR3JOP9q6Pc1r/sYYrhRrBmFVgk06+j1PfoFmi0bs/ sFwnCq6Li7qzsg7patiIzrAx6AlfP5s74PEpySaY=
Domainkey-signature: a=rsa-sha1; c=nofws; d=softsearch.ru; h=date:from :reply-to:message-id:to:subject:in-reply-to:references :mime-version:content-type:content-transfer-encoding; q=dns; s= main; b=YcIfz8qIFLW4Yn28rs7Hp2gyd8plCzUY3HX4DSV68C8JA4KvvBSFDeuh eYx67J2xSGXeh34keFD1L09Fep/puQNJB92q1DZyrDq8A4vPGvdnlkM5wcwnaKyT hAt5YjT38UWrwSwt3FqCBIU8GpwmkduJzAF8+p3NMReGrK2aMrM=
In-reply-to: <52DD8D17.5060706@citrin.ru>
References: <88eec546842d3bee9a82e83857dccd78.NginxMailingListRussian@forum.nginx.org> <1149969710.20140121004026@softsearch.ru> <52DD8D17.5060706@citrin.ru>

Здравствуйте, Anton.

>> Всё  просто.  Суёшь в авторизационную куку логин пользователя и хэш. А
>> на  стороне  сервера  считаешь хэш от логина, пароля, подсети и salt и
>> смотришь,  равен  ли он тому, что пришёл в куках.

> Я не специалист по криптографии, но насколько понимаю просто хэша тут
> недостаточно, нужен HMAC.
> В инете на эту тему за 5 минут нашел только такую статью:
> http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/

> Но встречал и более наглядные объяснения, почему нельзя в куке для 
> авторизации хранить просто хэш и нужен именно HMAC.

Для HMAC требуется 2 параметра: key и data. В нашем случае авторизации
по куке key - это salt, а data - это сконкатенированные логин, пароль,
подсеть и юзерагент? Или как?


-- 
С уважением,
 Михаил                          mailto:postmaster@xxxxxxxxxxxxx

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: Re[2]: Авторизация
  - From: Daniel Podolsky

References:
- Авторизация
  - From: oklas
- Re: Авторизация
  - From: Михаил Монашёв
- Re: Авторизация
  - From: Anton Yuzhaninov

Prev by Date: Re: NGINX SSL WebSocket проброс в Tomcat
Next by Date: Поддержка Range в subrequest
Previous by thread: Re[2]: Авторизация
Next by thread: Re: Re[2]: Авторизация
Index(es):
- Date
- Thread