0

使用(缩小的)javascript Ajax jQuery 时,我可以保护其他程序员的密码安全吗?更具体地说,当使用 Firebug 之类的工具进行调试时,我可以保留其他人的密码(甚至加密)吗?

这是一个场景:我构建了一个 XML 文档(服务器端)并将其传递给我的 jQuery/Ajax 控制器。谁说有人不会在 Firebug 中设置断点、复制并粘贴加密的用户 ID、加密的密码并将他们自己的请求发送到原始 URL?

是的,我可以做所有这些服务器端。我的问题是,我可以在客户端做吗?

让我们面对现实吧,当人们想要“安全”数据时,我们正在保护自己免受...其他程序员的侵害。

不过,你会喜欢的。

4

1 回答 1

1

不,你不能。你只能让它难以破解。这是 DRM 方案的基本问题:

他们旨在从客户端控制客户端上的内容。

也就是说,除非您尝试实施 DRM 方案,否则无需牺牲安全性。这是因为授权、身份验证和验证应该始终发生在服务器上(或者也发生在服务器上。)

客户端需要的唯一凭据是它自己的凭据,并且由于客户端需要它们登录并且已经拥有它们,这不是安全问题。

任何允许客户端超出其权限的凭据都必须保留在服务器中。

仅在对客户端进行适当身份验证和操作授权之后,服务器才代表客户端使用这些凭据。

任何将凭据传递给客户端并依赖客户端混淆来维护安全性的架构都是有缺陷的。

于 2013-01-11T03:33:57.747 回答