Вход без HTTPS, как обезопасить? ⇐ Php

[Anonymous]

Для веб-приложения, когда HTTPS недоступен в качестве меры безопасности, можно ли сделать вход в систему более безопасным? Например:

• Токенизировать логины, чтобы затруднить повторные атаки?
• Как-то зашифровать отправленный пароль от поле пароля HTML?

В частности, я использую CakePHP и вызов AJAX POST для запуска аутентификации (включая предоставленное имя пользователя и пароль) .

Обновленная информация о проблеме:

• HTTPS недоступен. Период. Если вам не нравится ситуация, считайте это теоретическим вопросом.
• Нет явных требований, у вас есть все, что предлагает HTTP, PHP и браузер (файлы cookie, JavaScript и т. д.). в реальной жизни (никаких волшебных двоичных файлов RSA и плагинов PGP).
• Вопрос в том, что лучше всего вы можете сделать из этой ситуации, что лучше чем отправлять пароли в виде открытого текста. Знание недостатков каждого из таких решений является плюсом.
• Любые улучшения, превосходящие простые пароли, приветствуются. Мы не стремимся к 100%-му решению. Трудно взломать лучше, чем сложно взломать, а это лучше, чем банальное перехватывание пароля.

Подробнее здесь: https://stackoverflow.com/questions/233 ... -to-secure