![](/s/1911/10/_/images/icons/emoticons/warning.gif)
1. При SSL пароль передается в текстовом виде
2. Без SSL. Для безопасности авторизации в личном кабинете без использования SSL используется следующий алгоритм:
- В cabinet.php в функции __show_login генерируется случайное слово.
- В login.php случайное слово выводится в скрытое поле
- Содержимое поля "пароль" стирается, при нажатии кнопки "Вход" Javascript генерирует хэш от пароля + случайного слова и выводит его в скрытое поле
- Логин и хэш передаются в процедуру на стороне сервера
- В процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
- Если хэши совпадают, то пользователь авторизуется
3. Если включен режим "входить в кабинет без авторизации" , то авторизация происходит по IP адресу пользователя и требуется гарантировать защиту от подстановки средствами оборудования локальной сети!. Такой типа авторизации не работает для администраторов.