如果您没有';没有https(ssl)?
如果您没有https(ssl),如何安全地传输密码?摘要身份验证提供了一些保护,特别是如果您有一个很短的nonce生命周期,并且易于实现的话。这使得它适用于某些情况,其中密码是您需要保护的唯一东西,以防被窥探。更多信息请参见RFC 2617如果您没有';没有https(ssl)?,http,ssl,https,security,password-protection,Http,Ssl,Https,Security,Password Protection,如果您没有https(ssl),如何安全地传输密码?摘要身份验证提供了一些保护,特别是如果您有一个很短的nonce生命周期,并且易于实现的话。这使得它适用于某些情况,其中密码是您需要保护的唯一东西,以防被窥探。更多信息请参见RFC 2617 它仍然不如HTTPS安全。摘要身份验证提供了一些保护,特别是如果您的nonce生命周期很短,并且易于实现的话。这使得它适用于某些情况,其中密码是您需要保护的唯一东西,以防被窥探。更多信息请参见RFC 2617 它仍然不如HTTPS那么安全。SSL是绝对推荐的
它仍然不如HTTPS安全。摘要身份验证提供了一些保护,特别是如果您的nonce生命周期很短,并且易于实现的话。这使得它适用于某些情况,其中密码是您需要保护的唯一东西,以防被窥探。更多信息请参见RFC 2617
它仍然不如HTTPS那么安全。SSL是绝对推荐的,有几种便宜(或免费)的来源可以获得SSL证书。但是,如果绝对不能使用SSL,则可以使用JavaScript加密库。记住: 当前状态下的jCryption为否 替换SSL,因为存在 没有身份验证,但主要目标是 当然,jCryption应该是一个非常简单和 快速安装插件,提供 基本安全级别
SSL是绝对推荐的,有几种便宜(或免费)的来源可以获得SSL证书。但是,如果绝对不能使用SSL,则可以使用JavaScript加密库。记住: 当前状态下的jCryption为否 替换SSL,因为存在 没有身份验证,但主要目标是 当然,jCryption应该是一个非常简单和 快速安装插件,提供 基本安全级别 该协议正是为这些情况而设计的。有一些JavaScript实现应该适合HTTP上下文。但请记住,这可以防止有人被动地监听,但不能防止有人干预流量,因为他们可能只会向您的用户发送损坏的JavaScript
也要记住,即使客户端密码不能被破坏,它们也被认证了,除非你注意保护它们,否则它们仍然容易受到中间人攻击,例如使用
应该是一个适合您使用的优秀JavaScript SRP库。该协议正是为这些情况而设计的。有一些JavaScript实现应该适合HTTP上下文。但请记住,这可以防止有人被动地监听,但不能防止有人干预流量,因为他们可能只会向您的用户发送损坏的JavaScript也要记住,即使客户端密码不能被破坏,它们也被认证了,除非你注意保护它们,否则它们仍然容易受到中间人攻击,例如使用
应该是一个很好的JavaScript SRP库,适合您的用途。还要详细说明为什么不能使用https。我不能使用ssl,因为它太贵了。()如果您负担不起SSL,请使用OpenID或OAuth,而不是自己接受密码。还要详细说明为什么您不能使用https。我不能使用SSL,因为它太贵了。()如果您负担不起SSL,请使用OpenID或OAuth,而不是自己接受密码。使用良好的摘要身份验证可以很好地保护密码传输,但会强制在服务器上明文存储密码,如果密码数据库遭到破坏,这将是一件非常可怕的事情,考虑到人们倾向于重复使用用户名和密码…@Bruno,那根本不是真的。您只需要存储用户名+“:“+域+”:“+密码的MD5,域由您设置(因此不应与另一个系统中存储的相同MD5匹配)。正是这个摘要充当了一个共享秘密,然后在传输时用nonce再次对其进行摘要。获得该密码将允许人们访问相关系统,但不会给他们原始用户/通行证。是的,我错了,密码可以以不可逆的方式存储,仍然是存储密码最危险的方法之一。使用良好的摘要身份验证可以很好地保护密码传输,但必须在服务器上以明文形式存储密码,如果密码数据库遭到破坏,这将是一件非常可怕的事,考虑到人们倾向于重复使用用户名和密码…@Bruno,那根本不是真的。您只需要存储用户名+“:“+域+”:“+密码的MD5,域由您设置(因此不应与另一个系统中存储的相同MD5匹配)。正是这个摘要充当了一个共享秘密,然后在传输时用nonce再次对其进行摘要。获得该密码将允许人们访问相关系统,但不会给他们原始用户/通行证。是的,我错了,密码可以以不可逆的方式存储,这仍然是存储密码最危险的方式之一。