Админы, не планируется ли сделать доступ к сайту с ssl? А то неприятно знаете ли палить учётку. Например, с работы через проксю, или из макдональдса и т.п.

ты серьезен щас?

_________________
о себе

Я всегда серьёзен. Даже когда ставлю смайлы.

За сертификат надо денег платить, а самоподписанный - это фуфлогон, да и браузеры ругаются. Пока не планируется.

хостер агава, неплохой, по отзывам - выдает самоподписанный

_________________
Никогда ничего не замышляйте против России, потому что на каждую вашу хитрость она ответит своей непредсказуемой глупостью. (Отто фон Бисмарк)

Замечательная аргументация!
Самоподписанный -- не фуфлогон. Прекрасно решает задачу шифрования, которую описал ТС. Кому нужен https может либо каждый раз нажимать кнопку подтверждения, либо добавить сертификат в хранилище браузера. Кому не хочется, чтобы браузер ругался, и не хочется ничего крутить в браузере, будут по-прежнему пользоваться http.
Делов-то на час максимум при умении, никому хуже не станет, а кому-то плюс.

_________________
Евгений
тел.: +7 904 663 87 83
email: trolzen@gmail.com
skype: trolzen1

чтобы не палить пароль, надо заранее по защищенному каналу авторизоваться и все.

просто топик стартеру прокся сайт негонки может относить к левому медиа трафику и блокировать, а https ресурсы почему то не относятся к этому.

я бы предложил очень простое решение (и весь сайт перевел на такую модель): если ты действительно хочешь, найди единомышленников и скинтесь на сертификат и на оплату возросшего трафика, если для провайдера это актуально.

_________________
email/IM/SMS/Talk/Hangouts:

а еще есть такая штука как Tor

_________________
Никогда ничего не замышляйте против России, потому что на каждую вашу хитрость она ответит своей непредсказуемой глупостью. (Отто фон Бисмарк)

Ну да, а есть ещё такая штука как i2p.

А про заранее защищённый канал - я имел в виду, например, мак, или другие общедоступные точки (кафе, магазины).
maratische, ты имеешь в виду чтобы в куки добавлено было?
По сути из дома-то тоже канал не защищённый. Он защищён только между компом и точкой доступа.
Тут и i2p не поможет, потому что после немецкого outproxy всё пойдёт снова в открытом виде.
Но это уже, скорее всего моя паранойа.

По ссылке выше бесплатный мод к phpbb-форуму для OpenId аутентификации.
Устанавливаем мод и получаем возможность логиниться под учёткой любого OpenId-провайдера: Vkontakte, GMail, Яндекс.Почта, Rambler, Mail.ru, LiveJournal, Twitter, FaceBook ...
У этих провайдеров, разумеется, есть сертификаты и процесс аутентификаци защищён SSL.
Задача "не палить учётку" здесь полностью решается. Плюс удобство - не надо логиниться на Негонках, если уже залогинился на Почте, или Вконакте.

А если нужно решение для "чтобы не увели учётку" а не просто не светить пароль?

_________________
Евгений
тел.: +7 904 663 87 83
email: trolzen@gmail.com
skype: trolzen1

А как можно увести учётку, скажем, на GMail-е?
https://accounts.google.com/ServiceLogin
Обмен учётными данными идёт по https, ни один прокси, или сетевой монитор перехваченный пакет не расшифрует.

Чем в данной ситуации https://bboard.negonki.ru/login будет надёжнее, чем https://accounts.google.com/ServiceLogin ?

И ещё, Trolzen, как можно "увести" учётку, не "засветив" пароль? Сломать сервер что ли?.. Если сервер делался прямыми руками, в БД хранится не пароль, а Хэш пароля. Т.е. даже если я залезу в БД Негонок, я увижу там MD5-хэш твоего пароля и не смогу "увести" твою учётку.

Учётка на Негонках имелась в виду.

В куках -- идентификатор сессии, злоумышленник перехватывает их, прописывает себе, форум его признаёт как другого пользователя, потом злоумышленник меняет пароль. Хотя на этом форуме не получится сменить ни пароль, ни мыло не зная исходного пароля. Зато можно потереть все сообщения, что тоже не очень приятно. Или писать гадости другим пользователям.

_________________
Евгений
тел.: +7 904 663 87 83
email: trolzen@gmail.com
skype: trolzen1

Смотри, чтоб не возиться с подменой куки, отключил куки в браузере. Залогинился. Sid передаётся в строке url. Проверяю Fiddler-ом - куков нет.
Удаляю Sid из url - гость. Возвращаю - юзер.
Теперь пытаюсь передать url вместе с Sid другому такому же браузеру с отключенными cookies - Гость.
Чего не хватает? Сессия на сервере к чему-то привязана? К IP клиента?

upd:
В общем, простой подменой куков в браузере, не получится обмануть сервер.
Сессия на стороне сервера, вероятнее всего, привязана к значениям параметров в заголовках HTTP GET/POST запросов, типа User Agent (браузер, ОС) и др.
Без специализированного софта, полностью формирующего HTTP запросы, тут не обойтись.
Учитывая, что время сеанса ограничено (на негонках - 30 минут, судя по кукам), у злоумышленника не так много времени.
Плюс, привязка сессии на сервере к IP-адресу клиента. Это, впрочем, решается IP-spoofing-ом, но тоже не без танцев с бубном...
----
Так что OpenId через провайдера с HTTPS - довольно надёжная защита. Перехват куков, во-первых, не даст злоумышленнику завладеть учёткой (операция смены пароля недоступна), во-вторых, без специального софта и незаурядных навыков - не даст ничего сделать в рамках активного сеанса.

А вот перехват HTTP POST - запроса, где сейчас в чистом виде отправляются логин+пароль - это полная потеря учётки.