У меня есть веб-приложение (ExtJS + perl), в котором есть диалог «Изменить пароль».Я хочу реализовать изменение пароля таким образом, чтобы, даже если трафик прослушивался и хеш нового пароля перехватывался, злоумышленник ничего не мог с этим поделать.
Я не использую https, поэтомуЯ должен найти другой способ, чтобы запутать новый хэш пароля.Вот как работает текущий логин:
Это предотвращает атаки воспроизведения, посколькухеш не будет работать без вызова (сервер знает только sha1 (clearPassword).
Я хотел бы сделать что-то подобное при смене паролей. Клиент может зашифровать пароль с помощью sha1, но если он отправит егоПодобно этому, и его перехватывают, его можно использовать для вычисления хэша логина каждый раз.
Любые идеи / предложения о том, как мне отправить новый зашифрованный пароль обратно на сервер?