我在我的网站上运行审核,它显示“用户凭据以明文形式发送”
我的网站启用了表单身份验证,应该可以从任何地方访问它。
如何以加密格式发送密码?
SSL 是唯一的选择吗,我四处阅读,发现启用 Digest 身份验证也可以做到这一点,如果我在 IIS 中将 Basic 更改为 digest 有什么缺点吗?
问问题
2800 次
3 回答
8
使用SSL
于 2012-04-24T13:50:12.870 回答
3
并发现启用摘要式身份验证也可以做到这一点,如果我在 IIS 中将 Basic 更改为摘要式有什么缺点吗?
主要缺点是它不适用于 Forms 身份验证。摘要设置消除了仅为 Windows 身份验证发送纯文本用户名/密码。唯一适用于表单的 IIS 设置是“允许匿名访问”。
这是一个经过充分研究和讨论的话题。您需要 SSL。
于 2012-04-24T14:06:53.727 回答
0
您可能在客户端使用 md5 对其进行散列,但您没有将其传递给服务器,您显然仍在传递密码框中的任何内容。在发送之前在客户端上散列密码是一个坏主意,原因有很多。
于 2018-07-12T08:56:51.917 回答