在HTTPS请求中对密码进行Base64编码的可能原因
不久前,我正在访问一家高端百货公司的网站(通过HTTPS),当我登录时,我注意到请求中发送的表单数据不包含我的纯文本密码,而是Base64编码的变体 要澄清发送的表单数据(带有假凭证): 现在我有点搞不清楚为什么请求中使用base64编码。这也让我怀疑自己在自己的网站上所做的事情是否真的安全(通过HTTPS发送纯文本密码)。我认为,当通过HTTPS发送请求时,几乎所有内容都会在这样的请求中加密,那么base64事先对其进行编码有什么意义呢在HTTPS请求中对密码进行Base64编码的可能原因,https,base64,Https,Base64,不久前,我正在访问一家高端百货公司的网站(通过HTTPS),当我登录时,我注意到请求中发送的表单数据不包含我的纯文本密码,而是Base64编码的变体 要澄清发送的表单数据(带有假凭证): 现在我有点搞不清楚为什么请求中使用base64编码。这也让我怀疑自己在自己的网站上所做的事情是否真的安全(通过HTTPS发送纯文本密码)。我认为,当通过HTTPS发送请求时,几乎所有内容都会在这样的请求中加密,那么base64事先对其进行编码有什么意义呢 也许我只是想得太多了,他们确实出于与安全无关的原因对其进
也许我只是想得太多了,他们确实出于与安全无关的原因对其进行了编码。问题仍然存在,在请求中对密码进行base64编码的可能原因是什么?base64对提高安全性没有任何作用。我能看到base64对密码进行编码的唯一原因是删除请求过程中不安全的字符 要么是这样,要么就是所讨论的网站实际上使用base64作为“加密”。您可能会惊讶于有多少大公司正在使用糟糕的安全实践:
需要明确的是:纯文本和base64实际上是同一回事。通过安全连接发送密码明文,您没有做错任何事。base64对提高安全性没有任何作用。我能看到base64对密码进行编码的唯一原因是删除请求过程中不安全的字符 要么是这样,要么就是所讨论的网站实际上使用base64作为“加密”。您可能会惊讶于有多少大公司正在使用糟糕的安全实践:
需要明确的是:纯文本和base64实际上是同一回事。通过安全连接发送密码明文,您没有做错任何事。我在谷歌搜索,看看是否有其他人这样做 我的目标是对密码进行base64编码,这样当有人在公共空间的开发工具中打开登录请求时,密码不会以纯文本显示。这并不妨碍有人拍摄截图/图片/视频,然后进行解码 密码用唯一的salt散列存储在数据库中,HTTPS连接被用作安全措施
我考虑过切换到基于摘要的身份验证方法,以便从客户端发送哈希密码,但我仍然没有决定。我在谷歌搜索,看看是否有其他人这样做 我的目标是对密码进行base64编码,这样当有人在公共空间的开发工具中打开登录请求时,密码不会以纯文本显示。这并不妨碍有人拍摄截图/图片/视频,然后进行解码 密码用唯一的salt散列存储在数据库中,HTTPS连接被用作安全措施 我考虑过切换到基于摘要的身份验证方法,以便密码从客户端散列发送,但我仍然没有决定
email: johndoe%40gmail.com
password: aGVsbG9fd29ybGQ=