http://neta.ywcafe.net/000519.html
さんところより。

なるほど、さっそくみてみると、
チャレンジ・レスポンス方式かな？
これの、サーバからキーもらうタイプですな。
http://premium.nikkeibp.co.jp/security/special/index02_04_01.shtml

で、キー生成にはmd5を利用してるのか、ふむふむ。これか。
日本語訳してくれてる人が居るからこっちみてみよう。
http://www.akanko.net/marimo/data/rfc/rfc1321-jp.txt

yahooでは、直接ログインページにロジック書かれてましたが、
md5.jsなどといったライブラリもあるようす。ふむふむ。。。

ってこんな話どっかで聞いたことあるような無いような。思い出せん。。。

メモついでに、
パスワードをmd5で変換したテキストを安全でない経路でおくると、
そのテキストをパスワードよろしく再利用が容易に可能。
偽認証時に、その暗号化したテキストを送れば良い。
ということで、「md5で暗号化しているので安全です」だけでは
　△　−５点　びみょーに足りません
じゃないですかね？（ってだれにいってんだか）

もし認証時の通信テキストを取られても
それを容易に流用できないという点で
Yahooの今のログイン画面は「セキュリティを保つ」。

という話もどっかできいたことがあるような無いような。。。。。

あのロジックそのものも結構興味ありです。はい。