纯文本密码通过HTTPS
我目前正在开发一个PHP OpenID提供程序,它将通过HTTPS(因此SSLencryption)工作。
以纯文本forms传输密码是错误的吗? HTTPS在理论上不能被拦截,所以我没有看到任何错误。 或者这在某种程度上是不安全的,我没有看到这个?
这是安全的。 这就是整个networking的工作原理。 表单中的所有密码始终以纯文本格式发送,因此最多使用HTTPS来保护它。
您仍然需要确保通过POST请求发送,而不是GET。 如果您通过GET请求发送,则可以将其以明文forms保存在用户的浏览器历史日志或networking服务器的访问日志中。
如果HTTP被禁用,并且您只使用HTTPS,那么您实际上并不是以纯文本forms传输密码。
其他海报是正确的。 现在您已经使用SSL来encryption密码的传输了,请确保您使用一个好的algorithm和盐对它进行哈希处理,以便在rest的时候保护它。
哈希客户端。 为什么? 让我告诉你一个小实验。 走进公司食堂的电脑。 打开浏览器到公司网站login页面(https)。 按F12,单击networking选项卡,检查closures日志,最小化控制台,但保持网页打开login页面。 坐下来吃午餐。 在员工login到公司网站后作为员工进行观察,并在完成后成为优秀的小工作者。 完成午餐,在电脑上坐下,打开networking标签,以明文forms查看每个用户名和密码。
没有特殊的工具,没有特殊的知识,没有花哨的黑客硬件,没有键盘logging器只是老的F12。
但是,嘿,不断思考你所需要的是SSL。 坏人会爱你的。