OT: Jak provozovat http a heslo hnat pres https?

[Jirka Kosek]

Martin `MJ' Mares wrote:

> > Udělat to můžete, stačí uživateli přidělit nějaký jednoznačný a těžko
> > uhodnutelný identifikátor a na webovém servru se pod tímto
> > identifikátorem pamatovat, zda se jemu odpovídající uživatel již
> > přihlásil. Identifikátor můžete mezi chráněnou a nechráněnou zónu webu
> > přenášet např. v parametrech v URL.
> 
> Čímž ovšem pracně nabytou bezpečnost šmahem ztratím, protože kdo mohl
> předtím odposlouchávat při přenosu hesla, může nyní odposlechnout
> tento identifikátor a škodit mi úplně stejně, ne?

To ano, ale identifikátor se obvykle generuje po každém přihlášení nový
a má určitou maximální dobu platnosti, takže doba, kdy ho lze zneužít je
nesrovnatelně menší než při odposlechnutí hesla. Rozhodně to není
bezpečné, ale pro mnoho aplikací to může stačit.

-----------------------------------------------------------------
  Jirka Kosek  	                     
  e-mail: jirka na kosek.cz
  http://www.kosek.cz