ソースはGitHubにのせました。FX.phpも6.0改造版に乗せ変えました。
通常のフレームワークはサーバ側だけで処理するので、サーバ側がクライアント側で
入力したパスワードを得て、双方のハッシュを比較するのが一般的かと思います。INTER-
Mediatorでは、クライアントからパスワードを出さないようにするためにハッシュを
かけた値をサーバに送っていますが、その結果、ソルトについてはネットワーク上で
暗号化かかっていないそのままの値で流れています。つまり、あるユーザで認証した
いという要求がクライアントからサーバに送られますが、そのときにチャレンジとソ
ルトをクライアントに送り、クライアント側でソルトとパスワードを合成してハッシ
ュを計算しています。まあ、これ(ハッシュが隠匿されていないこと)はセキュリテ
ィ上の脅威はないのですが、懸念点があればご指摘ください。
タイムアウトの動作を組み込んだくらいで、次のリリースにしますが、ちょっとしば
らく取りかかれないかもしれないので、ソースだけは更新しておきました。
_______________________________________________________________
新居雅行/Masayuki Nii <n...@msyk.net> <ms...@mac.com>:iChat Ready
Web Site <http://msyk.net> / INTER-Mediator [for Web App] http://msyk.net/im
Twitter: @msyknii (Japanese), @MasayukiNii (English) / Facebook: Masayuki Nii