Mat*_*tis 6 php security post packet-sniffers
好吧,这可能是非常基本的,但在这个发展阶段,这对我来说很重要.我感谢任何意见和建议.
此示例中的数据不受SSL加密保护.
page1.php/asp含有一种形式,职位变量username和password到page2.php/asp.
如果上述问题呈现为TRUE:
我在思考这些问题,感谢任何意见和反馈.
当用户通过未加密的HTTP提交登录表单时,他们的数据将通过一系列路由发送到您的服务器.在任何一条路线上,是的,有人可以嗅探数据.此外,如果用户的计算机被感染,黑客可能会在本地嗅探数据.
如果是登录表单,则应使用SSL,句点.还要确保在数据库中加密用户的密码.登录过程应该是:
这样,如果您的数据库被黑客入侵,那么密码非常难以弄明白(除非他们使用像'密码'这样的基本内容,但那时他们的错误就是这样).
鼓励用户不使用他或她的正常(假设的更安全)密码是否有意义,因为它不会受到保护?
你会把用户赶走.
任何地方的任何人都可以通过侦听来拦截我的 POST 数据,也许可以使用 Firesheep 等第三方软件?
不,车辆必须在他们附近通过。
如果上述问题成立:
事实并非如此,但即便如此。
我是否应该始终认为我的未加密 POST 数据可供任何人免费使用?
除非它只通过 LAN 传输,否则可以。如果它仅通过 LAN 传输,则添加限定符“在该 LAN 上”,答案将是肯定的。
我网站上的标准登录表单是否只是一种策略,旨在描绘根本不存在的安全层?
不
那么我是否应该将登录功能视为个性化用户体验的一种方式?
当然,如果没有加密,你不应该做任何严肃的事情。
鼓励用户不要使用他或她的正常(假设更安全)密码是否有意义,因为它在注册和登录过程中不会受到保护?
对于任何系统来说这样做都是有意义的。即使通信是安全的,您的服务器将来也可能会受到损害,或者第三方系统可能会受到损害,然后那里的数据会用来攻击您的系统。