OT: Jak provozovat http a heslo hnat pres https?

[Martin `MJ' Mares]

Zdravim!

> no a kdyz si s tim identifikatorem budu pamatovat i IP adresu toho
> odesilatele, tak i kdyz mi odposlechne ten identifikator, tak s tim stejne
> nemuze nic delat, nebo snad ano?

Jednak ano (napriklad je-li za toutez proxy), jednak takove reseni nebude
fungovat u load-balancing proxies, ktere pro ruzne requesty pouzivaji
ruzne IP adresy.

> To ano, ale identifikátor se obvykle generuje po každém přihlášení nový
> a má určitou maximální dobu platnosti, takže doba, kdy ho lze zneužít je
> nesrovnatelně menší než při odposlechnutí hesla. Rozhodně to není
> bezpečné, ale pro mnoho aplikací to může stačit.

Security by obscurity, nic vic.

				Have a nice fortnight
-- 
Martin `MJ' Mares   <mj na ucw.cz>   http://atrey.karlin.mff.cuni.cz/~mj/
Faculty of Math and Physics, Charles University, Prague, Czech Rep., Earth
"Optimum committee has no members."  -- Norman Augustine