在非 SSL 传输的情况下,密码如何从浏览器发送到服务器?
我想在发送之前使用 bcrypt 对密码+盐进行哈希处理...但似乎没有针对 bcrypt 算法的 javascript 实现...
md5、SHA-1 足够好吗?
PS:我的网站不存储任何用户个人信息。我只是希望用户想要的密码不被黑客入侵,因为用户可能在包含他/她的个人信息的其他网站上使用相同的密码
说实话,你可以在前端对其进行哈希处理,但这并不能解决你的根本问题。由于您要存储哈希值以供以后验证,因此黑客需要知道的只是哈希值是什么。然后黑客可以将哈希值发送给您,您的系统会将其验证为正确的值。您实际上是将未加密的密码发送到系统。
为了真正有效,传输需要通过 SSL 进行加密。
实际上,解决哈希问题的简单方法就是玩中间人攻击 http://en.wikipedia.org/wiki/Man-in-the-middle_attack。由于它不使用 SSL,因此使用浏览器的人无法知道 HTML 内容是否来自您的服务器。攻击者可以简单地将其代码放置在客户端和服务器之间,并在 HTML 中放置额外的代码来记录密码。然后发布的信息会发送给攻击者;他或她获取所需信息(在本例中为密码),然后将信息转发到您的服务器。您和攻击者都不会知道你们没有互相通信。
这就是为什么您必须从可验证的来源购买证书的原因。他们正在验证与您通信的服务器是否是他们所说的服务器。
有关的:DNS 中毒 http://en.wikipedia.org/wiki/DNS_cache_poisoning
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
