0 security passwords hash https bcrypt
我的程序通过SSL向网页发送请求,并在标题中(https://example.com/index.php?clientid=xxxx?spcode=xxxx)是一个管理员密码,用于确定它们是否是有效的客户端在我向他们发送一堆数据之前我的系统.
如果一个流氓员工通过窥探本地SSL数据来获取此密码,那么如果他猜测订单号(不是很难),他可能会发送和接收客户订单.
我知道如何使用bcrypt保护我系统上的某人密码.但是,当其他人使用他们的系统时,如何保护某人的密码?
我知道您不应该发送预先调整过的密码,否则有可能泄露您的盐.我应该使用一些软的临时传输哈希(一个不同于我存储在DB中的哈希).我认为这不是最好的方式,所以我要求大家帮忙.我在Stack Exchange找到了一些很棒的技巧.
每个人都提前感谢您的时间.我期待着你的想法.
SSL上的窥探只能通过中间人进行,并且可以检测到.
考虑如果你在fiddler中这样做,浏览器会抱怨证书.当然,既然你相信你不要监视你,你就可以了!
相比之下,您将看到您没有使用正确的证书处理服务器.如果您的应用拒绝处理其他证书,那么它将不允许建立SSL连接,并且没有窥探.
我仍然建议在认证标题中发送密码,根据RFC 2617,NTLM等.特别是如果您稍后在同一系统上移动到服务器到浏览器,并且不希望它们可以从地址栏中窥探.
编辑:根据您编写应用程序的内容,可以暂时允许窥探以进行调试,这样做会更加棘手!
| 归档时间: |
|
| 查看次数: |
266 次 |
| 最近记录: |