我对身份验证/ssl 非常陌生,尤其是与 ios 结合使用。我的问题是,如果我要发送用户名和密码,让我们说https://server.com/login.php我需要在 iOS 客户端中对我的密码进行哈希处理,还是我可以发布密码文本然后在将它们存储到数据库之前对其进行哈希处理?
问问题
1098 次
2 回答
3
一定要事先对它们进行哈希处理!当然,您使用的是 https,但如果您能提供帮助,最好不要以纯文本形式发送敏感信息。
于 2012-06-22T20:20:39.163 回答
1
发送散列或明文密码本质上是相同的问题。
如果攻击者可以从客户端和服务器之间的连接中捕获数据,他可以稍后通过向服务器发送散列或明文密码来验证自己冒充客户端。
关键点是使用 HTTPS,它对客户端和服务器之间的通信进行加密,这样攻击者就无法截获客户端发送给服务的数据(哈希或密码)。
也就是说,对客户端的密码进行哈希处理是一种很好的做法,这样没有人会知道真正的用户密码(即使客户端为了可用性将哈希存储在内存中,你也不应该在任何地方存储明文密码)。
于 2012-09-26T10:54:52.757 回答