Для веб-приложения, когда HTTPS недоступен в качестве меры безопасности, возможно ли по-прежнему сделать вход в систему несколько безопасным? Например.:

Токенизировать логины, затруднить повторные атаки?Как-нибудь зашифровать отправленный пароль из поля пароля HTML?

В частности, я использую CakePHP и вызов AJAX POST для запуска аутентификации (включая предоставленные имя пользователя и пароль).

Обновление по проблеме:

HTTPS недоступен. Период. Если вам не нравится ситуация, считайте это теоретическим вопросом.Нет явных требований, у вас есть все, что HTTP, PHP и браузер (куки, JavaScript и т. Д.) Предлагает в реальной жизни (никаких волшебных бинарных файлов RSA, плагинов PGP).Вопрос в том, что из лучших можно сделать изэтот Ситуация, которая лучше, чем отправка паролей открытым текстом. Знание недостатков каждого такого решения является плюсом.Любые улучшения лучше простых паролей приветствуются. Мы не стремимся к 100% l33tG0Dhx0r-proff решению. Сложнее взломать лучше, чем сложнее взломать, что лучше, чем тривиальное прослушивание, раскрывающее пароль.