简单场景:
1. 我的客户想登录我的网站。他去http
://mywebsite.com
2. 输入他的用户/通行证并提交。
3. 我们去https
。
问题:在客户端不
使用 javascript 加密用户/密码
有多不安全?
这意味着用户/通行证在网络上按原样发送。
怎么会有人接他们?
如果有人可以接他们,是否建议加密?
如果是这样,那么推荐的方法是什么?
谢谢!
简单场景:
1. 我的客户想登录我的网站。他去http
://mywebsite.com
2. 输入他的用户/通行证并提交。
3. 我们去https
。
问题:在客户端不
使用 javascript 加密用户/密码
有多不安全?
这意味着用户/通行证在网络上按原样发送。
怎么会有人接他们?
如果有人可以接他们,是否建议加密?
如果是这样,那么推荐的方法是什么?
谢谢!
如果您的表单发布到的操作是 HTTPS,那么发布到它的操作应该在传输层中加密。无需使用 javascript 进行加密。事实上,如果您确实使用了 javascript 来加密密码,那么攻击者很容易剥离该 javascript 以便在未加密的情况下发送凭据。
像所有人一样,我建议在您的服务器中仅使用 HTTPS。但是,我正在查看我银行页面的源代码......我注意到他们在发送之前在字段中使用了密码学,例如,仅使用 javascript“隐藏”帐户的号码和密码。我认为在某些情况下避免“不安全”是有效的,因为当数据离开您的机器时,协议 SLL/TLS(TCP 和 HTTPS 之间的层)提供“安全”。但是,如果您的 SO 感染了某些东西,也许这个“东西”可以在操作系统使用 TLS/SLL 之前“分析”浏览器输出产生的网络流量。
无论如何,如果有人有兴趣,Javascript 中有一些库可以做 criptography!
例如,这个:
http://crypto.stanford.edu/sjcl/
我的回答是试图表明有一个重点是防止恶意软件能够了解您的浏览器和操作系统之间的流量。