Лекция: Использовать средства более строгого шифрования паролей (digest-аутентификация в Apache, NT

Challenge/Response в US), то есть вероятность столкнуться с несовместимостью и с юридическими проблемами

(SSL).

Очень часто используются самодельные механизмы аутентификации, хранящие, как показано выше, имя и

Пароль пользователя непосредственно в спрятанных полях формы. Недостаток -гут тот же — возможность

Перехвата. Неплохим решением является предварительная шифровка пароля, привязанная к IP-адресу

Пользователя, что сокращает возможности перехвата, хотя и не исключает его. Именно эта схема была

Реализована в скриптах управления пользовательским счетом баннерной системы Russian Link Exchange,

Занимающейся показами рекламных заставок — баннеров — на Web-серверах, однако в начале февраля 1999 в

Ней была обнаружена неприятная особенность. Оказалось, что зашифрованный пароль привязывался только к

IP-адресу, сам же пароль по оплошности программиста выпадал из поля зрения. В итоге каждый пользователь

Системы мог получить доступ к любому счету. Публикация этого факта на открытых списках рассылки

Привела к громкому скандалу в узких кругах и ряду инцидентов, связанных с неправомочным переводом

показов с одного счета на другой. К чести администрации системы следует заметит}), что ошибка была