Здравствуйте!
Для начала, опишу вкратце то, что есть:
- имеется небольшая, самописная, уже действующая CRM-системка
- работает по http-протоколу
- пароли шифруются по алгоритму CRYPT_BLOWFISH
- после аутентификации, генереруется случайный хэш, который записывается в БД, сессию и на клиенте в localStorage для добавления ко всем ajax-запросам. При кадом запросе хэши сверяются.
Главное, что беспокоит хозяина - это передача пароля в открытом виде, но SSL он ставит в конец очереди возможных решений. На данный момент, я пока нашел на просторах инета единственный вариант - шифрование пароля на стороне клиента (например,
в этой статье), но т.к. я никогда с этим не сталкивался, то сложно представляю алгоритм такого сценария, который можно прикрутить к уже работающей системе и не знаю насколько это будет эффективно, если это обратимое шифрование. В общем, интересует то, по какому бы пути двигались вы, есть ли смысл от шифрования пароля на клиенте и какие есть альтернативные решения? И еще один попутный вопрос - а вообще, насколько опасна передача пароля в открытом виде?
