我的服务器配置了 https。但是所有凭据都缓存在 RAM(客户端计算机)中。
如果我们有客户端机器的 IP 地址,我们可以轻松获取存储在 RAM 中的用户凭据。我知道除非您关闭/重新启动客户端计算机,否则 RAM 不会被清除。
如何停止在 RAM 中缓存凭据?
问问题
659 次
1 回答
1
运行 Web 服务器时,您接受来自客户端计算机上的 Chrome、Safari 或 Internet Explorer 等 Web 浏览器的连接。当您的客户端通过 https 连接时,浏览器发送给您的信息以及您发送回该浏览器的信息在传输过程中被加密隐藏。
用户将她的用户名和密码提供给浏览器软件中的对话框,该对话框然后管理其传输(加密)到您的服务器。浏览器确实存储了未加密的用户名和密码。它需要这样做,因为 BASIC 身份验证要求对服务器的每个请求都携带(加密的)用户名/密码对。
如果用户在开机时失去对她的机器的控制,那么坏人确实可以发现密码。
退出时由浏览器软件清除 RAM 中的密码。大多数商业浏览器软件包在退出之前都会清除该 RAM。
如果您正在创建一个特殊用途的浏览器(一个特殊用途的 https 客户端软件包),您可能希望这样做。
您的担忧是有道理的:这是病毒和其他恶意软件如此危险的原因之一。但是,如果您是一名普通的 Web 开发人员,则除了建议您的用户安装和维护防病毒软件外,您对这种客户端风险无能为力。
于 2012-06-27T11:34:23.097 回答