rash

Думаю, практически всех, кроме создателей анимированных баннеров. Я на сайт читать прихожу, а не анимацию рассматривать.

Ну если мы боимся, что секретарша не найдет сайт после того, как посмотрит картинку - подключаем Lightbox.

Тебе это не надо. Просто ты этого еще не знаешь. Кстати, где это тебе при восстановлении пароля присылали тот же, который был указан при регистрации? И еще - если так уж надо высылать именно оригинальный пароль - храни его в открытом виде, это будет почти равносильно обратимому шифрованию.

Это уязвимость. Если злоумышленник получит доступ к базе (как он это сделает - неважно, но вероятность этого имеется всегда) - он сможет рашифровать ВСЕ пароли. А если шифрование необратимо - максимум "сбрутфорсит" самые простые. Понимаете, вы пытаетесь сделать хуже... Пароль в открытом виде не должно быть возможности получить вовсе.

Тогда нужно его заменить и выслать новый. Обратимое шифрование тут неприемлемо.

Это понятно, но зачем его расшифровывать?

Шифровать пароль с возможностью расшифровки не надо - это самый надежный метод.

Кстати скорость загрузки страницы не изменится совершенно — она зависит от пропускной способности канала и ее ограничений. Изменится время обработки скрипта на сервере. :-) Это если придиратсья. :-)

Ну чем noscript не угодил?

Вы не понимаете разницы между кодированием, шифрованием и хешированием... :-(

Да просто не надо этого делать никогда. Пользователь разберется, поверьте.

Вы понимаете разницу между шифрованием и хешированием?

А мы экономим место или усложняем перебор? :-) Усложнить раскрытие данных такой подход вполне может, просто он менее универсален.

У картинки не установлен float?

target="_blank" какое отношение имеет к фреймам? «Все валидно, что в браузере видно…»

Я бы в свою очередь рекомендовал автору не заморачиваться :-)

Ну тоже вариант, но при таком подходе нельзя исключать появление таблиц и для комбинированных хешей. Соль же имеет тут такое преимущество, что ее легко сменить или брать случайным образом, при этом существующие таблицы теряют смысл.

А вот что ему помешает сразу поработать с txt?

Я при этом не пытаюсь сказать, что md5 чем-то лучше или хуже, просто хочу показать, что угрожающей уязвимости в самом алгоритме пока не нашли. Есть, вроде бы (но это не буду утверждать на 100%) возможность зная хеш и исходные данные найти другие исходные данные, которые будут давать такой же хеш, но это в данном случае угрозы все равно не представляет.

Да таких сайтов несколько мне попадалось (уже не помню ни одного, но видел как минимум 2), так что не хочешь - не свети, его можно будет найти и так. :-) Там просто обширные таблицы соответствия хешей и распространенных паролей.

Это и есть rainbow-таблицы, расшифровать md5 пока невозможно, можно подобрать по таблице известных соответствий, соль как раз этому мешает.

Дырок, реально угрожающих безопасности хранимых хэшей нет и у md5. Единственная реальная "дырка" сейчас - наличие rainbow-таблиц, но они могут существовать для любого алгоритма. Почему вы считаете sha1 более надежным? Хотя хороший криптоалгоритм подразумевает невозможность компрометации данных даже при знании деталей используемого алгоритма. "Соль" выглядит шагом в правильном направлении.

Спасибо, возможно это и мне пригодится. Задача как раз сделать поведение навигации браузера предсказуемым, так что менять действие к которому все привыкли никто не будет, наоборот, придется его таким образом сохранить :-)

А жаль, что браузер не может блины жарить… то есть событие возврата по истории отслеживать. Тоже недавно была задача создать нестандартную навигацию по сайту, и все бы хорошо, только история переходов вела себя для пользователя иногда непредсказуемо - пришлось отказаться, а если бы можно было отслеживать - довел бы до ума, так как без JS все бы работало как следует.

vote1/(vote1+vote2+...+voteN)*100 = проценты за первый голос