相关疑难解决方法(0)

对于Web应用程序,当HTTPS不可用作安全措施时,是否仍然可以使登录有点安全？例如:

• Tokenize登录,难以重复攻击？
• 以某种方式加密从HTML密码字段发送的密码？

特别是我正在使用CakePHP和AJAX POST调用来触发身份验证(包括提供的用户名和密码).

问题更新:

• HTTPS不可用.期.如果您不喜欢这种情况,请将其视为一个理论问题.
• 没有明确的要求,你有任何HTTP,PHP和浏览器(cookies,JavaScript等)在现实生活中提供(没有神奇的RSA二进制文件,PGP插件).
• 问题是,什么是最好的,你可以摆脱这种情况,这比发送密码明文更好.了解每种此类解决方案的缺点是有利的.
• 我们欢迎任何比普通密码更好的改进.我们的目标不是100%l33tG0Dhx0r-proff解决方案.难以破解比破解复杂更好,这比揭露密码的琐碎嗅探更好.

据我所知,如果我不使用SSL/HTTPS,cookie和会话ID将通过网络传输为纯文本.一个传感器可以使用数据包嗅探器来获取这些信息.如何在不使用SSL/HTTPS的情况下保护它？我猜这个解决方案包括在客户端和服务器端做一些事情来处理这个问题.我的服务器端是Java.