Encryption 防止客户端工作站上的代理/工具篡改密码?
最近我们的web应用程序已经通过了审核。Th审计员得出以下结论: 尽管已经实现并强制实施了SSL,但这只意味着 存在网络加密,即如果有人使用网络嗅探 工具,数据将不会以明文形式显示。然而,在终点—— 意味着客户端工作站–可能被代理或 监测工具。如果是这种情况,不实现应用程序 登录期间的加密或更改/重置密码将允许用户 要以明文形式显示的凭据 是否有任何标准程序/实践可用于解决此类安全问题?客户端的JavaScript加密/散列值得考虑吗?Encryption 防止客户端工作站上的代理/工具篡改密码?,encryption,https,client-side,password-protection,tampering,Encryption,Https,Client Side,Password Protection,Tampering,最近我们的web应用程序已经通过了审核。Th审计员得出以下结论: 尽管已经实现并强制实施了SSL,但这只意味着 存在网络加密,即如果有人使用网络嗅探 工具,数据将不会以明文形式显示。然而,在终点—— 意味着客户端工作站–可能被代理或 监测工具。如果是这种情况,不实现应用程序 登录期间的加密或更改/重置密码将允许用户 要以明文形式显示的凭据 是否有任何标准程序/实践可用于解决此类安全问题?客户端的JavaScript加密/散列值得考虑吗? 注释:它是一个JavaEE应用程序Struts + EJB
注释:它是一个JavaEE应用程序Struts + EJB,只处理数据检索I、E查询系统
< P>加密SSL加密有助于避免网络嗅探和拦截攻击,例如中间人。但是如果拦截发生在之后,那么您需要在客户端进行加密。是。。明智的做法是散列凭据,这样即使攻击者使用代理,他/她也无法理解传递的数据