如果之前有人问我,我很抱歉,但我希望能得到最新答案.
我是服务器端安全性的新手,我想要正确地做到这一点.
我的问题:加密通过HTTPS发送的密码是最佳做法吗?
我看到过在POST变量发送之前建议使用Javascript加密密码的帖子,但我不确定在使用HTTPS时是否有必要这样做.
请注意:当密码存储在数据库中时,我完全打算对密码进行散列和腌制.
如果使用HTTPS,则没有太多理由加密客户端和服务器之间发送的数据.HTTPS会为您执行此操作,因此任何进一步加密都是多余的.
我可以想到提前加密密码的唯一原因是对客户端进行哈希处理,以避免在服务器内存或日志中保留明确的密码.这有点偏执,在现实世界中可能没什么用处.无论如何,日志都不应该记录密码,如果有人可以访问您的服务器内存,除了密码加密之外,还有其他问题需要解决.
此外,加密客户端中的密码允许其他人查看加密/散列的执行方式.恕我直言,这是一个安全风险,而不是它驻留在服务器内存几毫秒.