亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

開發網站登錄功能時,如何保證密碼在網絡傳輸過程中的安全?

開發網站登錄功能時,如何保證密碼在網絡傳輸過程中的安全?

夢里花落0921 2018-10-03 17:13:39
在網站的登陸中,如果不做處理,那么用戶名和密碼將會在post表單中以明文的方式通過http傳遞給server。如果http請求被截獲,那豈不是意味著用戶名和密碼的泄漏?如何避免這個問題?
查看完整描述

2 回答

?
忽然笑

TA貢獻1806條經驗 獲得超5個贊

HTTPS是讓請求~~截獲不了~~(敘述不準確,其實也是截獲了沒有用)??蛻舳嘶煜?strong>截獲了沒有用。

截獲了沒有用的思路上說,簡單的單向Hash確實意義不大,攻擊者偽造一模一樣的POST(重放攻擊)就能成功登陸。所以要使用加鹽(SALT)Hash。
服務器發送給客戶端的登陸頁面里嵌上一個一次性且有時效性的字符串Salt,客戶端在傳回密碼時將Salt和密碼連接在一起進行Hash再提交。這樣客戶端每次登錄,由于獲取到的Salt不同,產生的Hash值也不同,且登錄后本次使用的Salt/Hash值立刻作廢,攻擊者無法通過重放截獲的信息登錄。

但是仍然并不是真正的安全:攻擊者可以攔截客戶端的登錄請求使之不能到達服務器,然后自己提交攔截的登錄請求,從而以用戶的身份登錄。(也算是中間人攻擊了吧)

但是好像HTTPS也不能完全保證抗中間人攻擊的,所以大概也就這樣了。


查看完整回答
反對 回復 2018-10-14
  • 2 回答
  • 0 關注
  • 1875 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號