MiTo Team

Ноябрь 2012

Безопасная аутентификация по «небезопасному» HTTP-протоколу

Практически любая современная WEB-ориентированная система (различные CMS, галереи, каталоги и т.п.) аутентифицирует пользователей через ввод логина и пароля. Эти логин и пароль вводятся в поля HTML-формы, которая затем отправляется через GET или POST запрос на сервер для проверки. Причём и логин и пароль в этом запросе передаются в открытом виде. Перехватив трафик между браузером и сервером, злоумышленник легко получает эти логин и пароль.

Один из вариантов преодоления этой проблемы – использование протокола HTTPS с шифрованием трафика между браузером и сервером. Но, во-первых, использование протокола HTTPS не всегда доступно. Например, он может не поддерживаться хостингом, или у Вас нет возможности приобрести подписанные SSL-сертификаты. Во-вторых, Ваш сайт может отдавать данные или документы большого размера (например, фотографии в случае с фотогалереей). В таком случае шифрование всего трафика может серьёзно нагрузить сервер.

Попробуем изобрести способ устойчивой к перехвату пароля аутентификации без использования протокола HTTPS.