第一:我知道 HTTPS 是 HTTP + SSL。我知道 SSL 是通过 Internet 安全发送连接信息的唯一真正选择。我的问题与 SSL 不是选择和加密不是必需的情况有关 - 但无论如何都是需要的。
第二:这不是重复的。诸如如何在没有 HTTPS 的情况下使用 Javascript 通过 HTTP 安全地发送密码等问题?描述使用其他方法的问题,但在将加密用于教育目的时,不能将其用作次优方法。
作为课外互联网安全研究的一部分,我想创建一个使用用户配置文件并允许用户通过密码登录的网站。本网站不获取信用卡信息,不会保存敏感的个人信息,一般来说,不会是值得窃取个人信息的网站。出于这个问题的目的,我会编造一些东西并说该网站仅包含一个人最喜欢的电影。由于这些原因,我不想使用 SSL。
但是,我确实希望使用其他一些加密。我知道加密不是必需的,因为实际上没有人会试图窃取一个网站的帐户,该网站只保存某人最喜欢的电影的信息。目的纯粹是为了了解 SSL 之后的下一个最安全选项的安全性。如上所述,我知道 SSL 是唯一真正的安全连接。
问题:鉴于我所描述的情况,提供“有点安全”连接的选项有哪些?网站可以使用 IPsec 来保护连接,和/或使用挑战-响应之类的东西吗?
先感谢您。
编辑:我需要对所有流量进行加密,而不仅仅是登录。