кто-то уже откодил и оттестировал. а теперь кодит баги.

Надо кодить без багов ;)

Ну это врядле, в свете последних угонов аккаунтов...

По теме инвайтов. Раз уж на то пошло, то выдавать нужно API ключи как у гугла например (для SOAP выдавали ключи). С помощью ключей можно и вести мониторинг нагрузки создаваемой определенными юзерами. Тех кто будет тянуть еже секундно можно банить, и тогда они уже больше не побеспокоят. Но ограничивать их выдачю помоему это неправильно.

З.Ы. Не знаю как AlienZzzz считал, но я насчитал минимум 5 человек...

Интересная статья - по перебору паролей - почитайте. Пароль в 9 символов удобен, да и долговечен к брут-форсу. А про md5 я вообще молчу.


если использовать MD5 в api - то это самый шик.

Я бы ещё захотел бы добавить сальт в хэш-функцию, например:
тоесть не просто хэш пароля, а ещё и соль.

Согласен на все 100. Ибо это основа Web-Service'ов. Если он есть, то он доступен для всех и всегда, иначе он платный.

Да я не про пароли. Я про то что в онлайн сервисах для SAPE свой пароль никто никогда не введет. Если на то пошло, то Шифровать в МД5 (+ какое-то секретное число или слово) нужно на стороне клиента. В ДжаваСкрипте с МД5 будет сложновато

Отдавать пароль сервису только в MD5, а он должен отправлять запросы только с MD5 параметром. Всё просто!

1. пароль и так идет в МД5 (там есть параметр)
2. проше https сделать, чем мутить с отдачей только с пареметром мд5.

Salt не нужен, достаточно иметь длинный пароль - больше 15-20 символов :).

мы говорим о совершенно разных вещах.

публичный сервис А. Для регистрации требуют ввести пароль от Сапы. Вы ведь не введёте, да? Так там нужен выбор - ввод md5-пароля - тоесть клиент сам генерирует md5 и вводит его на сайте.
Смысл защиты не от перехвата, а от владельцев сервиса.