He estado mirando como simular https, y la verdad que lo que hay es un poco chapucillas. Lo que hace es encriptar la contraseña en md5 junto a un numero aleatorio, y enviar la contraseña encriptada con el numero.
Mi idea es que el servidor obligue al usuario a usar un determinado numero. Seria como asociar a la ip "fulanito" el numero aleatorio que sea.
Esto se guarda en un sitio temporal (un campo en mysql que luego borramos).
Si un sniffer captura el hash, no sabrá el numero. Por lo que si intenta meterse como el usuario a que ha espiado, tendrá 1 posibilidad entre "numero de posibles numeros aleatorios que hay". Es decir, que se tendria que tirar probando no se cuanto tiempo. Y dado que las conexiones las hará desde la misma ip, al tercer intento el sitio le bloquea (o lo que le pongas).
¿Que os parece la idea? Creo que es sencillo de hacer, algo que mucha gente va a utilizar, y lo mejor: nos evita contratar htpps.
P.D. Si esto ya existe, que alguien
P.D.2 No me he mirado muy a fondo enlace: http://kamads.com/kamads_ads/loginscript_2.php
pero creo que lo que hace es enciptar sin mas...