0

我的程序通过 SSL 向网页发送请求,并且在标头 (https://example.com/index.php?clientid=xxxx?spcode=xxxx) 中是管理员密码,用于确定它们是否是在我向他们发送一堆数据之前,我的系统。

如果流氓员工通过窥探本地 SSL 数据来获取此密码,那么他可能会在猜测订单号(不难)时玩弄客户订单的发送和接收。

我知道如何使用 bcrypt 在我的系统上保护某人的密码。但是当别人使用他们的系统时,我如何保护别人的密码呢?

我知道您不应该冒着泄露盐分的风险发送预先散列的密码。我是否应该使用一些软的临时传输散列(与我将其存储在数据库中的散列不同)。我认为这不是最好的方法,所以我向大家寻求帮助。我在 Stack Exchange 找到了一些很棒的技巧。

提前感谢大家的时间。我期待着你的想法。

4

1 回答 1

5

SSL 上的窥探只能由中间人完成,并且可以检测到。

考虑一下如果你在 fiddler 中这样做,浏览器会如何通过抱怨证书来做出反应。当然,既然你相信你不会监视你,那你没事吧!

相比之下,您将看到您没有与具有正确证书的服务器打交道。如果您的应用程序拒绝处理其他证书,那么它将不允许建立 SSL 连接,并且没有窥探。

不过,我仍然建议按照 RFC 2617、NTLM 等在身份验证标头中发送密码。特别是如果您稍后还要在同一系统上执行服务器到浏览器,并且不希望它们从地址栏中被窥探。

编辑:根据您编写应用程序的内容,它可能会暂时允许窥探以进行调试,这证明更棘手!

于 2012-08-30T20:31:09.003 回答