Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Filip Jirsák - Ale vyvrátil. Sám jste jako příklad uvedl asymetrickou...

Ale vyvrátil. Sám jste jako příklad uvedl asymetrickou kryptografii. Když se něco rád dozvíte, poučím vás. Asymetrická kryptografie funguje na principu dvou klíčů, které jsou provázané – veřejného a soukromého. Veřejný klíč je odvozený od soukromého, ale opačná cesta je dnešními prostředky neproveditelná – tj. nelze z veřejného klíče odvodit ten soukromý. A dále pro ty klíče a algoritmus platí to, že co transformujete („zašifrujete“) jedním klíčem, převedete do původní podoby („odšifrujete“) tím druhým. Takže server pošle náhodnou výzvu, klient jí zašifruje svým privátním klíčem, výsledek zašle serveru, server dešifruje veřejným klíčem klienta a porovná, zda dostal to samé, co poslal jako výzvu. Pokud ano, ví, že klient má soukromý klíč odpovídající tomu veřejnému klíči. Server tudíž zná jen veřejný klíč a po síti se posílá náhodně vygenerovaná výzva a pak zašifrovaná výzva – k opakovanému přihlášení to nestačí, protože výzva příště bude jiná.

A to je jenom jedna z možností. Existují i jiné algoritmy pro přihlašování, kde informace, které musí znát server, nepostačují pro úspěšné přihlášení klienta. A také jednodušší algoritmy, kde informace uložené na serveru sice je možné použít pro přihlášení na stejném serveru, ale server nezná heslo ani jeho ekvivalent, takže se s těmi údaji nepřihlásíte nikde jinde. Takový způsob přihlašování je dokonce součástí protokolu HTTP jako autentizační metoda HTTP Digest. Akorát je v prohlížečích implementována otřesně, tudíž se nepoužívá a tudíž je dnes už beznadějně zastaralá (je založená na MD5).