s4y*_*s4y 16 authentication ssl web-applications
我开始编写一个小型Web应用程序,并开始考虑保护登录(仅用于管理).
如果可以的话,我会安装一个CACert或自签名的SSL证书,因为现在我将是唯一一个登录的人,但我的主机不太适应.
没有SSL,是否有合理的选择来保护网站?我一直在考虑身份验证的选项:
在JavaScript中实现salted哈希.加载登录页面时,生成salt服务器端.以明文形式将其发送到客户端并将其存储在会话变量中.
摘要式身份验证.我刚刚发现这个想法浏览SO,这可能比滚动我自己的身份验证更合理.
OpenID的.这是一个开放的标准,不需要密码(我可以"劫持"我的OpenID提供商的SSL以增加登录过程的安全性),但我不知道OpenID如何工作或它有多安全.(需要研究.例如,可以重播OpenID身份验证吗?)
所有这些的问题是:
我可以想到在登录后保护应用程序的唯一选择是一些恶心的JavaScript和PHP来回发送加密的ASCII blob.我不想这样做.
浏览器是否支持加密(对于页面加载和POST)可以在我的服务器端脚本语言中实现,而不需要我的主机的祝福或参与?是否可以在没有SSL的情况下保护会话免受劫持(实际上)?
在这种情况下你会做什么?
您可以安全地进行身份验证,而无需实施防范窃听的保护.例如,您可以阻止其他人发送请求,即使他们可以读取您的请求内容.如果您需要防止窃听,我建议您去某个可以使用SSL的地方.
如果您只需要简单的身份验证而没有真正的安全性,您的提供程序可能会支持HTTP Basic 这(以及限制功能和备份的良好设计)是一个合理的临时解决方案,同时您担心其他问题.
为了验证您的身份,无法重播OpenID.每个验证序列都已签名.但是,OpenID本身只允许您与服务器建立身份.它不会让您签署或以其他方式验证请求.OAuth会,但它需要传输加密部分协议.
您可以使用共享密钥对每个请求进行签名.这可以防止攻击者提交或重播请求,但窃听者仍然可以读取请求本身.请参阅Amazon AWS身份验证(包括客户端库)或flickr身份验证的文档.基本协议是:
| 归档时间: |
|
| 查看次数: |
8429 次 |
| 最近记录: |