Ssl 通过websocket登录-安全吗？

在带有https的网页上

客户端通过TSL通过websocket安全wss连接到服务器 服务器发送“用户和密码就绪”-消息 用户输入信息并由客户端发送 服务器验证，只要连接了websocket，就知道收件人是谁 编辑：

---

我正在考虑以上内容，而不是使用post方法。

它可以安全地抵御某些攻击，但像往常一样，有办法闯入该网站，我们必须全面评估安全性

数据库密码 从描述中不清楚，但您描述的设置可能以纯文本形式存储用户密码

在这方面的最佳实践是计算密码的散列和并将其保存在数据库中，因此，如果攻击者设法获得一个db转储，他们将需要大量时间根据该值猜测密码

速率限制 您应该限制不成功的登录尝试，这样攻击者就不会轻易地通过bruteforce选择密码

登录中 另一个可能出现问题的地方是日志记录：您需要确保凭据不会出现在应用程序日志文件中，我已经看到了信用卡号

类似的问题是，在验证结束后将敏感信息保留太长时间，这使它们更容易受到攻击，例如，在Java中强制堆转储并从该文件中选取敏感信息

SSL秘密材料 如果您没有充分注意减少对ssl私钥的访问，则有人可能会发动中间人攻击

根据应用服务器支持的密码套件，如果攻击者窃取密钥，以前记录的通信可能容易被解密。对这一点的抵抗的概念被称为。您可以验证是否正确调整了web应用程序

您的证书颁发机构或任何其他人可以向其他人颁发您网站的证书，允许攻击者歪曲您看到的内容

科尔斯 您还应该设置，以使强制浏览器代码将此身份验证信息发送到其他服务器更为棘手

社会工程 攻击者可以诱使您的用户在web工具控制台中启动一些代码-您可以尝试在Facebook上打开一个web控制台，看看他们对此做了什么

新东西

---

每天都会发现漏洞，其中一些漏洞会发布在公告上，您应该在堆栈中遵循这些漏洞，例如，在适当的情况下进行修补/升级。

感谢您的出色响应-我很好奇通过websocket发送密码，而不是使用post方法发送。关于散列：如果攻击者获得数据库转储，他不能手动打开websocket并发送散列吗？欢迎。是的，如果攻击者获得db dump，他们将能够在某些方案中登录。还有一些设计用于对抗这种情况。哈希db的另一个优点是不允许扩展到其他站点，用户通常对他们使用的所有内容使用单一密码。至于websockets和post，我认为在TLS上使用这两种密码没有多大区别。