Originariamente inviato da andr3a

Ammesso che ci siano, sarebbero inutili, salvo preautenticazione in md5.
Non sono inutili se la chiave, sempre diversa, viene inviata di volta in volta dal server al client.
Server che dovrà ricordarsi la chiave inviata al proprietario della data sessione.
Un sistema simile viene utilizzato dalla crittografia irreversibile (es. con md5, come la crittografia http digest) aggiungendo alla request una stringa, sempre diversa e chiamata "nonce", prelevata dal response precedente.


L'autenticazione md5 da sola, senza "nonce", non serve a nulla perchè qualsiasi dato inviato con crittografia irreversibile ha lo stesso valore sia per chi lo deve legittimamente ricevere che per chi lo può sniffare

Qualsiasi metodo di crittografia client è complicato e sicuro solo fino a un certo punto, non è un caso che SSL sia così diffuso.