Админы, можно ли поднять ssl для доступа на форум? Есть закрытые разделы, так что логичнее и доступ делать шифрованным.

Другой вопрос: авторизация на форуме или пароли при входе. Криптуются при передаче или провайдер может "нюхать"?

Админы, можно ли поднять ssl для доступа на форум? Есть закрытые разделы, так что логичнее и доступ делать шифрованным.

Другой вопрос: авторизация на форуме или пароли при входе. Криптуются при передаче или провайдер может "нюхать"?

SSL поднять можно для доступа на форум. Сегодня сделаем.

Пароли криптуются в базе с помощью алгоритма MD5 с добавлением "соли" - salt. Расшифровать такие пароли очень сложно и порой практически невозможно. При передаче провайдер может снифферить трафик и возможно получит пароль уже в расшифрованном виде. От этого никто не защищен.

При передаче провайдер может снифферить трафик и возможно получит пароль уже в расшифрованном виде. От этого никто не защищен.

тогда надо поднимать ssl на момент передачи пароля или вообще в течение всей сессии работы на форуме.

Можно создавать мд5-хэш сначала в браузере (с примесями в пароль разного текста), а потом передавать его на сервер уже в виде хэша (уже не открытым текстом). При перехвате получат только хэш. Причем, как правило, каждый раз разный.

Единственное требование к браузеру - поддержка JavaScript (а сейчас это даже текстовые браузеры умеют).

Это реализовано на Yahoo! Mail (http://mail.yahoo.com/), LiveJournal (http://www.livejournal.com/) и на вопроснике UZ-CERT ;-)

Но не сложно ли все это реализовывать в форуме? Проще SSL поднять. Но основные минусы SSL, насколько я это почувствовал на себе - тормознутость и увеличение трафика.

ок, пообсуждайте варианты - выложите финальный